Творці програми зламують сайти і поміщають в їх код елемент iframe з посиланням на троян. Коли користувач відкриває такий сайт в браузері для Android, шкідливий файл Update.apk починає завантажуватися автоматично.

Якщо зайти на зламаний інтернет-сайт з комп’ютера або зі смартфона під керуванням іншої операційної системи, завантаження файлу не почнеться.

NotCompatible видає себе за оновлення для Android. Зараження відбувається в тому випадку, якщо користувач не тільки завантажив файл, а й встановив програму на пристрій. Останнє можливе лише в тому випадку, якщо в системі дозволена встановлення додатків з невідомих джерел.

У блозі Lookout Mobile Security пишуть, що поки програма не виконує шкідливих операцій. Тим не менш, є ризик, що творці NotCompatible "допрацюють" троян і будуть використовувати його для вторгнення в приватні мережі шляхом перетворення зараженого пристрою в проксі-сервер.

На даний момент кількість сайтів, що містять шкідливий код, невелика, і вони не відрізняються високою відвідуваністю. Один з таких ресурсів, наприклад, належить американській компанії, яка випускає засоби для боротьби з термітами.

Lookout Mobile Security відзначає, що випадок з NotCompatible став одним з перших, коли зламані сайти використовуються для поширення трояна для мобільних пристроїв. Зазвичай до такої схеми вдаються творці шкідливих програм для PC.