Criminelen zijn erin geslaagd om twee besmette apps op Google Play te plaatsen die tussen de 200.000 en 1 miljoen keer zijn gedownload. Het gaat om twee versies van een app genaamd BrainTest. Zodra gebruikers de app hadden gedownload probeerde die vier verschillende exploits om roottoegang te krijgen. In het geval dit lukte werd er persistente malware geïnstalleerd die zich voordeed als een systeemmodule.

Vervolgens installeerde de app aanvullende applicaties op het besmette toestel. Om verwijdering te voorkomen gebruikt BrainTest twee systeemapplicaties om het verwijderen van één van de onderdelen te monitoren. Zodra één van de onderdelen wordt verwijderd zal de tweede die opnieuw installeren. De malware werd ook ontdekt door een gebruiker die de besmette app verwijderde, maar vervolgens zag hoe die uit zichzelf weer op het toestel terugkeerde.

Na te zijn ingelicht door beveiligingsbedrijf Check Point heeft één van de besmette apps 15 september verwijderd. De eerste versie was op 24 augustus al van Google Play gehaald. Androidgebruikers van wie het toestel is besmet krijgen het advies om de app te verwijderen. In het geval die terugkomt is de persistente systeemmodule geïnstalleerd, wat inhoudt dat het het besturingssysteem via een officiële ROM opnieuw geïnstalleerd moet worden.