Dr.Web đã phát hiện ra mã độc này và đặt tên là Android.SmsBot.459.origin lây nhiễm thông qua tin nhắn SMS rác và để thuyết phục hơn trong một số trường hợp còn sử dụng tên của người sở hữu điện thoại . Tin nhắn SMS này có chứa đường link và nếu mở ra sẽ tải file APK Trojan vào thiết bị người dùng .
Nếu người dùng mở file APK trên thì thiết bị của họ sẽ bị nhiễm độc . Trojan này ấn giấu như là được tới từ nguồn đáng tin cậy và trong trường hợp này là một ứng dụng cho trang web quảng cáo tại Nga .
Nếu người dùng đồng ý cài đặt , ứng dụng độc hại này ngay lập tức yêu cầu quyền Admin với mục đích để truy cập Codec video . Thông báo này không có cách nào khác chỉ có mỗi cách bấm “Activate” .\\
Ngay sau khi cài đặt thành công với quyền quản trị , Trojan sẽ kết nối tới máy chủ CnC để gửi tất cả thông tin chi tiết về điện thoại người dùng như số IMEI , tên model , ngôn ngữ , số điện thoại , phiên bản hệ điều hành …
Android.SmsBot.459.origin sau đó quét danh sách những ứng dụng ngân hàng đã cài đặt trong máy nạn nhân và hiện tại chỉ liên quan tới những ngân hàng của Nga .
Nếu tìm thấy những ứng dụng ngân hàng , Trojan sẽ dùng những hoạt động đã được cài đặt trước để lấy số dư tài khoản người dùng . Bằng những lệnh và tin nhắn SMS đặc biệt , Trojan sẽ chuyển tiền của nạn nhân sang tài khoản khác do tin tặc điều khiển .
Để thực hiện những việc này một cách bí mật , Android.SmsBot.459.origin sẽ dấu mọi thông báo SMS tới từ ngân hàng như là sự khẳng định về thực hiện giao dịch chuyển tiền .
Ngay cả kỹ sư Google cũng không thể dấu tin nhắn SMS trong thiết bị Android , nhưng tin tặc đã tìm ra một cách rất thông minh đó là chúng vô hiệu hóa âm thanh thông báo có tin nhắn tới , tải tin nhắn SMS tới máy chủ CnC sau khi nhận được và ngay sau đó xóa chúng trước khi người dùng nhận ra có sự thay đổi .