Украинские абоненты получают SMS сообщение вида "Привет :) Тебе фото https://www.soloboro.ru/gayn/????????????" где вместо знаков вопросов указан телефон пользователя, которому адресовано сообщение. Если нажать на ссылку, то на телефон загружается вирус и запускается установка троянского приложения. Сайт Ain.ua со ссылкой на экспертов по антивирусным технологиям, дает советы, как удалить вредоносную программу.
После установки, троян получает доступ к адресной книге устройства и начинает рассылку вирусных SMS всем адресатам, кроме тех, чьи номера начинаются на 1 (международный телефонный код США +1). Данная процедура повторяется троянской программой регулярно, поэтому пользователи получают по несколько вирусных SMS с одного и того же зараженного телефона. Рассылка SMS прекращается только когда на счету абонента заканчиваются деньги. Вирус опасен только для смартфонов на базе Android, на других мобильных ОС он не работает.
Затем троян передает базовую информацию об устройстве пользователя на свой сервер: номер телефона, IMEI, IMSI, страну, версию операционной системы, модель аппарата, состояние мобильного счета и прочие данные. При этом троян способен анализировать сообщения от оператора о пополнении счет на конкретную сумму, где анализируются русскоязычные сообщения, содержащие слова "баланс" и "пополнено", как русскими, так и латинскими символами.
Одной из функций программы является перехват входящих звонков и входящих SMS. Входящие звонки абонементу автоматически сбрасываются, лишая возможности других пользователей дозвониться к зараженному абоненту и предупредить его о рассылающихся с его телефона сообщениях.
Троян также умеет загружать из интернета другие компоненты и "самообновляться". Загружаемая программа сохраняется с именем /mnt/sdcard/download/update.apk и запускается на установку автоматически. При этом, приложение может установиться на устройство только в том случае, если в его настройках безопасности включен параметр "Разрешить установку приложений из неизвестных источников". По умолчанию этот параметр выключен на всех устройствах, и включают его, как правило, для того что бы установить приложения из каких либо источников помимо GooglePlay Market (например с SD карты или другого сайта). Таким образом, основной метод защиты - это выключение параметра "Разрешить установку приложений из неизвестных источников" в настройках смартфона.
Если телефон оказался заражен вирусом, то для его удаления необходимо сначала остановить работу приложения Google Play (воспользоваться "Диспетчером задач" или "Диспетчером приложений") и затем выполнить его удаление обычным способом. Инструкция по удалению на официальном сайте Google. Также необходимо удалить инсталляционный файл вируса, который загружается на телефон под именем FOTO_ALBOM.apk.
Что касается Белоруссии, то там получателям сообщения с вирусом предлагают перейти по прикрепленной ссылке и посмотреть фотографии. Если это сделать, то система предложит установить на смартфон приложение. Эксперты предупреждают, что оно вредоносно - отправляет аналогичные SMS-сообщения всем адресатам из базы контактов абонента. За каждое отправленное сообщение также взимаются деньги. Представители мобильных операторов не исключают, что злоумышленники могли завладеть информацией о банковских данных абонента.