De malware, genaamd Shedun, wordt gebundeld met bestaande apps en aangeboden op alternatieve appstores. Eenmaal geïnstalleerd poogt de malware gebruikers zover te krijgen de app toegang te geven tot de Android accessibility service.

Wanneer dat gebeurd is begint de malware direct met het downloaden en installeren van andere mal- en adware. Het weigeren of blokkeren van deze installaties heeft geen zin aangezien Shedun automatisch toestemming kan geven voor de installaties zonder tussenkomst van de gebruiker.

It's not a bug, It's a feature

Vreemd genoeg maakt de malware geen misbruik van gaten in Android. Lookout meldt dat Shedun via de alternatieve manieren, die de Android accessibility service beschikbaar stelt, deze handelingen zonder problemen uit kan voeren. Normaal gesproken wordt deze service gebruikt om bijvoorbeeld teksten op het scherm voor te lezen aan blinden en/of bepaalde handelingen uit te laten voeren door apps die het leven van blinden en slechtzienden moet vergemakkelijken.