Het helpt niet echt dat deze nep-installer daadwerkelijk een echte flash-update installeert. Daardoor wekt hij minder argwaan op. Op de achtergrond wordt echter nog wat extra scareware toegevoegd, die vervolgens gebruikers bang maakt door te zeggen dat hun Mac vol met fouten zit en er een scanner moet worden gedownload.

De scanner is uiteraard nep en zal altijd zeggen dat er fouten zijn gevonden. Gebruikers moeten een telefoonnummer bellen voor extra hulp. Al kregen de onderzoekers van SANS Technology niemand te pakken.

De onderzoekers ontdekten dat de scareware gebruik maakt van een gestolen Apple developer-certificaat, ondertekend door Maksim Noskov. Doordat dit certificaat is gebundeld met de scareware, wordt dit pakket gezien als legitieme software en komt Apple's Gatekeeper niet in actie om de malware te stoppen.

De onderzoekers van SANS hebben de oorzaak van de popups nog niet kunnen traceren maar zij vermoeden dat deze is geïnjecteerd via een web-advertentie.

Enkele uren geleden heeft Apple het certificaat overigens ingetrokken.