Malware odpowiedzialny za zamieszanie został oznaczony jako Android.Oldboot.1. Jego działanie polega na zmodyfikowaniu partycji systemowej i wprowadzeniu do niej specjalnej biblioteki Linuksa.
W rezultacie przy każdym uruchomieniu urządzenia instalowana jest fałszywa aplikacja GoogleKernel.apk.
Za jej pomocą możliwe jest nawiązanie zdalnego połączenia ze smartfonem lub tabletem i wydawanie mu poleceń (w tym m.in. instalowanie i usuwanie aplikacji).
Według analityków z Dr.Web zainfekowanych zostało ponad 350 tys. urządzeń. Znacząca większość zanotowanych przypadków (92 proc.) pochodzi z Chin, gdzie malware ma najprawdopodobniej swoje źródło. Wśród zagrożonych znaleźli się również użytkownicy z m.in. Hiszpanii, Malezji, Włoch, Wietnamu i Rosji.
Pierwsze badania nad złośliwym programem wykazały, że nie rozprzestrzenia się on za pomocą stron www, załączników e-mail czy spreparowanych aplikacji. Do jego aktywowania konieczny jest fizyczny dostęp do urządzenia lub instalacja nieoficjalnej modyfikacji Androida.
To kolejny atak na użytkowników systemu Android. W październiku ubiegłego roku ujawniono istnienie wirusa z rodziny Android.SmsSend (więcej na ten temat).
