Mobil si ji stáhne, protože uživatele k tomu vyzve podvržená část stránky. A uživatele tomu věří, protože si otevřel oficiální stránky banky, nikoliv podvržené stránky, které jenom stejně vypadají (nejde tedy o Phishing).
S Windows to nemá nic společného, protože je napadený přímo prohlížeč - jeho doplňky jsou psané v Javascriptu a tedy nezávislé na systému. Tedy kromě IE, kde jsou to opravdu Win32 aplikace (BHO).
Že aplikace vyžaduje práci s SMS je u Androidu poměrně běžné, až tak běžné, že uživatelé podobné upozornění ignorují. A navíc banky používají SMS jako potvrzující kanál, takže uživateli nepřijde divné, že to "oficiální" aplikace požaduje.
A ano, ve většině případů je to do značné míry chyba uživatele, ale u Androidu je to mnohem snažší:
- umožňuje instalaci mimo Google Play
- umožňuje instalaci aplikace, která dokáže odchytit SMS aniž by o tom uživatel věděl