Вредоносное программное обеспечение распространяется под видом ПО для взлома игр и читов. Злоумышленники размещают его на мошеннических веб-сайтах.
Когда пользователь пытается загрузить то или иное приложение, то он перенаправляется на другой мошеннический сайт, где его уже поджидает Android.BankBot.104.origin под видом взломанного ПО для игр или читерских программ.
Вредонос очень быстро инсталлируется на мобильные устройства как приложение под именем «НАСК». После его запуска ПО пытается получить доступ к функциям администратора устройства, а потом удаляет свой значок из списка приложений на главном экране.
После этого троян определяет наличие мобильного банкинга на устройстве и проверяет наличие синхронизированных денежных счетов. В случае их обнаружения, вредонос переводит средства на счета злоумышленников.