Jeśli jednak skrypt natrafia na urządzenie z systemem Android, wysyła użytkownika na stronę internetową oferującą aktualizację Flash Playera. Aby zainstalować fałszywe aktualizacje, użytkownik musi mieć włączoną funkcję pozwalającą działać aplikacjom z nieznanych źródeł.
Gdy aktualizacja zostanie zatwierdzona, instalowany jest trojan. Kiedy aplikacja jest otwarta po raz pierwszy, informuje, że aktualizacja nie działa i będzie odinstalowywana. Oczywiście Stels w tym czasie działa w tle, tworzy furtkę do pobrania kolejnego złośliwego oprogramowania. Trojan może także wyciągać dane z listy kontaktów, wysyłać wiadomości tekstowe na linie premium, nawiązywać połączenia telefoniczne i przeszukiwać wiadomości tekstowe. Współpracując z trojanem ZeuS, Stels może zatem potencjalnie ominąć zabezpieczenie dwustopniowego uwierzytelniania.
Jednakże trojan nie zakopuje się zbyt głęboko w systemie operacyjnym Android. Fałszywą aktualizację Flash’a można łatwo znaleźć wśród „aplikacji działających” w menu ustawień i odinstalować.
Źródło: H-Online