Łącznie odnotowano przynajmniej 6 tys. udanych infekcji. Trojan został wyposażony w kilka interesujących funkcji, które zapobiegały jego wykryciu. Szkodnik nie uaktywniał się od razu po jego uruchomieniu. Zamiast tego czekał na instalację kolejnej aplikacji. Po dwóch godzinach rozpoczynał własną aktywność, przesyłając informacje na serwer cyberprzestępców.
Dopiero tam zapadała decyzja o infekcji. Trojan po otrzymaniu instrukcji pobierał i instalował dodatkowe moduły. Takie podejście sprawiało, że cyberprzestępcy mogli pozycjonować atak na konkretną wersję systemu bądź też model smartfona.
Po uzyskaniu uprawnień administratora trojan dodawał własne moduły do folderów systemowych. Instalował i ukradkowo usuwał inne aplikacje. Wyświetlał też reklamy na ekranie głównym.
Google zostało już poinformowane o problemie, a szkodliwa aplikacja została usunięta ze sklepu Play. Kaspersky Lab podaje, że ta sama wersja trojana od grudnia 2015 roku występowała na platformie Google pod postacią przynajmniej dziesięciu różnych aplikacji.
Źródło: Kaspersky Lab