No entanto, a forma como os comprometem é ainda desconhecida. Assim que o DNS é controlado, qualquer tentativa por parte dos utilizadores de aceder a um website direcciona-os para um URL semelhante mas com conteúdos falsos com origem nos servidores dos hackers.

Isto inclui a mensagem “Para melhorar a sua experiência de navegação, por favor instale a versão mais actual do Chrome”, o que leva à instalação de uma aplicação trojan, de nome “Facebook.apk” ou “chrome.apk”, que contem o backdoor Android dos hackers.

O malware Roaming Mantis “verifica, posteriormente, se o dispositivo está rooted e pede permissão para ser notificado sobre qualquer actividade de comunicação ou de navegação do utilizador”.