Wirus został nazwany przez analityków Doctor Web jako Android.Downloader.157.origin. Jest on dystrybuowany przez strony oferujące oprogramowanie dla urządzeń mobilnych. Teoretycznie jest on aplikacją, która umożliwia wyświetlanie dodatkowych informacji o naszym rozmówcy – kraju pochodzenia, regionu oraz nazwy operatora mobilnego. Oprócz tego wyświetla on również fałszywe powiadomienia systemowe, które mogą zostać pomylone z prawdziwymi.
Gdy nieświadomy użytkownik kliknie w takie powiadomienie, trojan rozpoczyna pobieranie pliku APK ze zdalnego serwera. W tym samym momencie jest wyświetlane kolejne powiadomienie. Jeżeli w nie klikniemy, pobrany plik zostanie zainstalowany. Większość pobranych w ten sposób programów to trojany, backdoory i inne złośliwe oprogramowanie.
Pierwszy trojan tego typu pojawił się już w 2012 roku. Obecność jego kolejnych kopii świadczy o tym, że ten sposób oszukiwania użytkowników wciąż jest skuteczny i dochodowy.
Źródło: Doctor Web