Nejprve dojde k napadení prohlížeče, nejjednodušeji instalací škodlivého doplňku. Ten doplněk pak dokáže do navštěvovaných stránek vkládat vlastní kód, nejde tedy k hacknutí banky, protože tohle probíhá na klientovi. Vložený kód pak vyzývá uživatele ke stažení aplikace pro mobilní telefon, pod záminkou že jde o aplikaci pro zvýšení bezpečnosti. Konkrétně šlo např. o stránky České spořitelny.
Proč si to odškrtne v nastavení? Aby si mohl nainstalovat aplikace, které jsou na Google Play placené.