自2014年以来， OceanLotus或PhantomLance APT组织就以通过官方和第三方应用市场传播高级Android威胁而闻名。他们试图远程控制受感染的设备，窃取机密数据，安装应用程序并启动任意代码。

    安全研究人员最近记录了该组织及其活动，Bitdefender的调查发现了35个新的恶意样本，并证明该活动可能使用了合法且可能被盗的数字证书 来对某些样本进行签名。APT小组的作案手法是先上传干净版本的应用，随机等待一段时间后，更新加载恶意软件，然后通过Google Play和第三方应用市场传播受感染的Android应用。

安全研究人员将该恶意软件归因于OceanLotus APT组织。原因是Android恶意软件与过去用于基于Windows的高级威胁的命令和控制域之间的共享基础结构联系在一起，这些威胁过去一直以Microsoft用户为目标。据信，这些较早的活动也与Hacking Team组有联系，该组曾为APT32组服务。

在传播方面，尽管安全研究人员已经报告说应用发行是通过官方的Google Play市场和第三方应用市场进行的。

 仍托管的恶意样本的第三方市场的如下：

hxxps：//apkpure.com/opengl-plugin/net.vilakeyice.openglplugin

hxxps：//apk.support/app/net.vilakeyice.openglplugin

hxxps：//apkplz.net/app/com.zimice.browserturbo

hxxps：//apk.support/app/com.zimice.browserturbo

hxxps：//androidappsapk.co/download/com.techiholding.app.babycare/

hxxps：//www.apkmonk.com/app/com.techiholding.app.babycare/

hxxps：//apkpure.com/cham-soc-be-yeu-babycare/com.techiholding.app.babycare

hxxps：//apk.support/app-th/com.techiholding.app.babycare