Создатели программы взламывают сайты и помещают в их код элемент iframe со ссылкой на троян. Когда пользователь открывает такой сайт в браузере Android, вредоносный файл Update.apk начинает загружаться автоматически.
Если зайти на сломанный сайт с компьютера или со смартфона под управлением другой операционной системы, загрузка файла не начнется.
NotCompatible выдает себя за обновление для Android. Заражение происходит в том случае, если пользователь не только загрузил файл, но и установил программу на устройство. Последнее возможно лишь в том случае, если в системе разрешена установка приложений из неизвестных источников.
В блоге Lookout Mobile Security пишут, что пока программа не выполняет вредоносных операций. Тем не менее, существует риск, что создатели NotCompatible "доработают" троян и будут использовать его для вторжения в частные сети путем преобразования зараженного устройства в прокси-сервер.
На данный момент количество сайтов, содержащих вредоносный код, невелика, и они не отличаются высокой посещаемостью. Один из таких ресурсов, например, принадлежит американской компании, выпускающей средства для борьбы с термитами.
Lookout Mobile Security отмечает, что случай с NotCompatible стал одним из первых, когда сломанные сайты используются для распространения трояна для мобильных устройств. Обычно к такой схеме прибегают создатели вредоносных программ для PC.