Троян распространяется через «сайты для взрослых»: при заходе на них с Android-устройства пользователю предлагается установить фальшивый Flash-проигрыватель. Если пользователь, презрев все рекомендации не устанавливать программное обеспечение из сомнительных источников, согласится, троян получит права администратора и начнет свою подпольную деятельность. При этом, программа удаляет все SMS, как те, которые отправляются в Сбербанк, так и те, которые из него получаются. Она похищала средства тех клиентов Сбера, которые работали с его мобильным банкингом.

Первым делом вредоносная программа посылает запрос на короткий номер «900», принадлежащий Сбербанку. Если же да, вирус узнает баланс по счету и начинает переводить деньги на открытые мошенниками счета. Жертвами мошенников стали, в частности, его клиенты в Калининградской, Мурманской, Ленинградской областях, Санкт-Петербурге, Оренбурге и Приморском крае, перечисляет FlashNord. Комментариев со стороны Сбербанка на эту тему пока не поступали. Впрочем, как уже отмечалось, благодаря программе UMS удалось увидеть, какие сообщения отправляли мошенники. Некоторые операторы, например, «Билайн», позволяют снимать деньги с телефонного номера прямо в банкомате.

В Сбербанке CNews пояснили, что подключая услугу «Мобильный банк», клиент автоматически соглашается с условиями ее предоставления, в том числе, с необходимостью выполнения требований безопасности. «Только по самарской группе предварительный ущерб около 200 млн рублей, общий ущерб, который продолжает увеличиваться, неизвестен», — сказал собеседник агентства, отмечая, что «Сбербанк занял хитрую позицию, перекладывая ответственность за использование платформы Android без антивирусной защиты лежит на клиенте». «Следует также отметить, что клиенты, использующие другие платформы, подобным рискам практически не подвергаются».