Hasonlóan az előző hullámhoz, a hackerek most is a keresett appok kalózverzióiba rejtették a rosszindulatú kódot. A Lookout biztonsági cég szerint ráadásul egyáltalán nem elképzelhetetlen, hogy ugyanazon csoport áll a két támadás-sorozat mögött.

Míg az előző, márciusi hullámban huszonegy „Droiddream” kártékony kóddal kiegészített appot távolítottak el, most huszonhat „Droiddream Light” kóddal fertőzött app került törlésre. A hat rosszindulatú appot kiadó fejlesztő sorrendben a Magic Photo Studio, a Mango Studio, az ET Team, a BeeGoo, a Droidplus és a Glumobi. A fertőzött appok listáján olyan neveket találhatunk, mint a Sexy Legs, a Volume Manager, a Quick SMS Backup és a Tetris.

Egyik appnak sem volt arra szüksége, hogy elindítsuk: mindegyikük csupán egy bejövő hívásra várt, és azzal azonnal aktiválódott. Ekkor a programok hozzáfértek az IMEI és az IMSI azonosítóhoz, a modelltípushoz, az SDK verzióhoz és telepített csomagok listájához. A kód a Lookout leírása szerint még extra programokat is képes volt telepíteni, bár ehhez szükséges a felhasználó közreműködése is.

Az F-Secure vizsgálata szerint míg a Hot Girls 1 (Szexi Csajok 1) nevű app eredetileg ártalmatlan, a Magic Photo Studio nevű fejlesztő letöltötte, módosított rajta , majd visszatöltötte az Android Marketre. Az F-Secure egy másik biztonsági fenyegetésre, egy épp terjedő Androidos trójai programra is felhívta a figyelmet. Ez – ahogyan régebben a Symbianos kártevőknél láthattuk – biztonsági frissítésnek hazudja magát.

Szintén Symbian-időkből ismerős taktikát követ a BaseBridge fertőzés, amely veszélyeire a NetQin figyelmeztetett. A fentiekkel ellentétben ez nem a hivatalos Marketen, hanem a warez weboldalokon található meg. Így a Voice SMS, a Trader, és a Donkey Jump kalózváltozatai olyan extra részekkel bírnak, amely nagyon kellemetlenül érintheti pénztárcánkat. Ezen programok ugyanis emeltdíjas számokat hívogatnak vagy küldözgetnek SMS-t.

No persze a felhasználónak előbb engedélyezni kell egy „frissítést”, amely után a program aktiválja három rejtett komponensét (AdSmsService, BridgeProvider és PhoneService) amelyek egy központi szerverrel kommunikálnak. Innen kapják meg a felhívandó számok listáját, illetve elküldendő SMS-ek listáját is. A BaseBridge ráadásul képes a szolgáltatótól érkező, túlzott fogyasztásra figyelmeztető SMS-eket elrejteni. Így céges, központilag, flottában fizetett telefonok esetében meglehetősen sokáig bujkálhat.