De malware, die vermomd is als een app die met Google geassocieerd wordt, en ontdekt werd door Check Point Research, exploiteert gekende zwakke plekken in Android en vervangt automatisch de geïnstalleerde apps door malware-versies, zonder medeweten van de gebruikers, en zonder dat zij hierin moeten tussenkomen.

De malware wordt `Agent Smith` genoemd en heeft momenteel toegang tot de bronnen van de toestellen om zo frauduleuze advertenties te vertonen en geld te verdienen. Maar hij zou ook heel gemakkelijk gebruikt kunnen worden voor veel indringendere en schadelijkere doeleinden, zoals het stelen van bankgegevens en spionage. Deze campagne lijkt op vorige malware-campagnes zoals Gooligan, Hummingbad en CopyCat.

"De malware valt stiekem de door de gebruikers geïnstalleerde apps aan. Voor de meeste Android-gebruikers is het dus moeilijk om zelf tegen deze dreigingen te strijden", betreurt Jonathan Shimonovich, verantwoordelijk research Mobile Threat Detection bij Check Point Software Technologies.

`Agent Smith` werd in het begin gedownload vanop 9Apps, een veelgebruikte app store. Hij mikte vooral op gebruikers die het Hindi, Arabisch, Russisch of Indonesisch spreken.

Tot nu toen zijn de meeste slachtoffers in India gevallen, alhoewel andere Aziatische landen, zoals Pakistan en Bangladesh, ook getroffen werden. Een groot aantal geïnfecteerde toestellen werd ook ontdekt in het Verenigd Koninkrijk, Australië en de Verenigde Staten.