Az ESET kutatói az új malware esetében azt tapasztalták, hogy tipikusan a klasszikus PC számítógépes férgekre jellemző jellegzetes terjedési technikákat használja. Ott ugye azt tapasztaljuk, hogy tulajdonképpen többé-kevésbé automatikusan igyekeznek mind levélmellékletben, külső adathordozókkal Autorun-os konstrukcióban, illetve URL linken keresztül, valamint azonnali csevegő és Facebook üzenetként is tovább terjedni. Nos itt pedig az történik, hogy a fertőzött készülék tulajdonosának minden ismerőse kap egy SMS üzenetet azzal a szöveggel, hogy “Это твои фото?” magyarul "ez a te fényképed?". A melléklet "természetesen" egy preparált kártékony .APK állomány, amelyre óvatlanul kattintva a következők történhetnek.

Trójaiként igyekszik saját magát legitim hasznos alkalmazásnak feltüntetni, ehhez pedig a "com.android.tools.system v1.0" álnevet használja. Települése után viszont az alkalmazás sem grafikus felületet, sem pedig megjeleníthető ikont nem jelenít meg. A downloader típusú kártevőkhöz hasonlóan megkísérel további kártékony kódokat a telefonra letölteni, illetve kémkedik is utánunk. Magyarul a készüléken tárolt bizalmas információkat, beleérte a kontaktlistánkat és a szöveges üzeneteinket is, rejtve feltölti egy távoli szerverre.

Emellett a klasszikus módit is beveti, vagyis feliratkozik a nevünkben emelt díjas SMS szolgáltatásokra, illetve ezen felül a telefon hívások blokkolására is képes, valamint az ébresztő beállításait is tudja manipulálni, kikapcsolni. A támadáshoz használt, és a kártevőelemzők által beazonosított szerver doménjét mindössze pár napja, 2014. április 24-én regisztrálták csak be. A védekezésben nyilvánvalóan az is fontos momentum, hogy új ismeretlen alkalmazások esetén ne csak bambán next-next-finish módjára telepítsünk, hanem valóban nézzük át és ellenőrizzük az app által igényelt engedélyeket.

A kártevőt az ESET termékei Android/Samsapo.A néven detektálják. A trükk egyébként nem véletlenül lehet ismerős a social engineering iránt érdeklődőknek illetve törzsolvasónknak, hagyományos PC-s környezetben elkövetett hasonló cselről ugyanis írtunk már korábban, nagyjából két éve. Vagyis a kíváncsiság, a meglepetés, az ijedtség és a düh rafinált egyvelege sokkal hatékonyabb kattintásmágnes, mint önmagában egyedül csak a kíváncsiság. A tanácsaink a szokásosak: használjunk Androidon is antivírust, plusz javasolt az óvatosság a Google Playen kívüli ismeretlen programok telepítésénél, illetve hasznos a biztonságtudatos hozzáállás a kéretlen e-mailek, közösségi üzenetek esetében. A kutatók csak és kizárólag orosz nyelven és ebben a régióban találkoztak az említett kártevővel, amihez viszont bátran hozzátehetjük azt is, hogy egyelőre.