Quando il dispositivo Android è collegato a un computer (compromesso) in modalità USB, e con la funzione AutoRun attivata sul computer, Windows eseguirà automaticamente il file PE che è dannoso. Il nuovo malware, soprannominato da Symantec Trojan.Droidpak registra un nuovo servizio di sistema per assicurare la sua persistenza dopo il riavvio. Successivamente scarica un file di configurazione da un server remoto che contiene la posizione di un APK dannoso ( pacchetto delle applicazioni Android) chiamato AV- cdk.apk. Il programma Trojan scarica il dannoso APK, che è silenziosamente installato sul terminale Android. Tuttavia, questo malware funzionerà solo se è attivata l’opzione ” debug USB ” sul nostro Android. Debug USB è normalmente utilizzato dagli sviluppatori Android , ma anche da coloro che non sono direttamente legati allo sviluppo di app, come per esempio chi esegue root o esegue modifiche varie al proprio Smartphone/Tablet Android.
L’ APK malevole si maschera come l’ applicazione ufficiale di Google Play. Una volta installato su un dispositivo , utilizza il nome “Google App Store” e la stessa icona di Google Play.
Il malware sembra indirizzare gli utenti in conti bancari del Sud Corea .Intercetta anche SMS ricevuti dall’utente e li invia attraverso un server remoto. Raccomandiamo di non diffondere dati sensibili (coordinate bancarie, Pin e quant’altro) per SMS perchè potreste essere vittima di questo malware.