Użytkownicy Androida mogą się natknąć na nowe zagrożenie podczas szukania popularnych aplikacji mobilnych (takich jak Opera Mini) poprzez Google. Pewne wyniki wyszukiwania mogą kierować użytkowników na podejrzane strony, na których pojawia się informacja, że smartfon jest zainfekowany szkodliwymi programami. Rzekome zagrożenia mają mieć dostęp do danych poufnych użytkownika, któremu proponuje się wykonanie błyskawicznego skanowania. Po kliknięciu przycisku strona udaje skanowanie antywirusowe i wyświetla jego wyniki (zapisane na sztywno w kodzie strony).
Po obejrzeniu listy nieistniejących zagrożeń użytkownik może kliknąć kolejny odsyłacz, aby „aktywować system bezpieczeństwa”. Spowoduje to wyświetlenie propozycji pobrania i zainstalowania aplikacji VirusScanner.apk, która jest szkodliwa i wykrywana przez produkty Kaspersky Lab jako Trojan-SMS.AndroidOS.Scavir. Jeżeli na stronę tę trafi użytkownik telefonu działającego pod kontrolą systemu innego niż Android, pobrany zostanie program VirusScanner.jar, wykrywany przez produkty Kaspersky Lab jako Trojan-SMS.J2ME.Agent.ij.
Ekran smartfonu z zainstalowanym szkodliwym programem Scavir
Po instalacji na ekranie smartfonu pojawia się aplikacja o nazwie „Instalator” (nazwa zapisana jest w języku rosyjskim) z ikoną charakterystyczną dla produktów Kaspersky Lab. Po uruchomieniu aplikacji użytkownik ujrzy okno, które oferuje włączanie różnych fałszywych opcji antywirusowych oraz przycisk „Continue”, który ma uruchamiać leczenie smartfonu. Efektem kliknięcia tego przycisku jest uruchomienie wysyłania SMS-ów na numery o podwyższonej opłacie.
Źródło: Kaspersky Lab