Вредоносная реклама на популярных новостных порталах автоматически скачивает пакет поддельных обновлений системы Android Marshmallow на устройства пользователей. Она была найдена на респектабельных сайтах, вроде мобильных версий Slashdot и Android Police, на новостных сайтах в Германии и Франции. Результатом становится их заражение трояном, нацеленным на банки России, Франции и Германии.
Открытие было сделано компанией Intel Security Mobile Research и получило название Android/Dmisk. Впервые проблема была обнаружена в апреле, однако более плотное изучение показало следы деятельности трояна ещё в январе. При посещении некоторых сайтов на устройства загружается файл Android_Update_6.apk.
После установки файла на устройстве появляется приложение Android Update 6, после запуска которого начинает работать Dmisk. Программа собирает финансовые данные и отправляет на сервер, после чего прослушивает входящие СМС, используя фильтры, чтобы выделить популярные финансовые организации трёх вышеназванных стран. Программа также умеет переходить по рекламным ссылкам.
Ранние версии приложения в прошлом октябре были доступны в магазине Play Store, однако Google быстро удалила их. Источником являются сторонние магазины приложений вроде ApkPure. Кампания по распространению Dmisk остаётся активной, особенно в Германии и Франции, серверы были обнаружены в Эстонии.