Způsob pořízení škodlivého kódu je i v tomto případě stejný. Uživatel si stáhne z fóra, která bývají plná odkazů na pirátské verze programů, aplikaci a její instalací jako nechtěný bonus vpustí do svého přístroje i malware.
V tomto případě se vir ukrýval v neexistující verzi (1.3.7) aplikace Walk and Text, která je běžně dostupná v oficiálním Android Marketu. Takto poupravená verze je ke stažení na několika celosvětově využívaných serverech, a proto tvůrci kódu doufají, že ji stáhne co nejvíce uživatelů.
Po spuštění aplikace čeká na uživatele překvapení v podobě dialogového okna, které říká, že se provádí cracknutí aplikace. Kód ve skutečnosti v tento moment získává některé informace (IMEI, telefonní číslo, jméno) a ty následně v pozadí odesílá na vzdálené servery. Další okno uživatele informuje, že si stáhl pirátskou verzi aplikace.
Potud se tento malware chová velmi podobně jako řada ostatních, které se v poslední době objevily v souvislosti s Androidem. Tvůrci kódu Android.Walkinwat ale do svého viru vnesli i jisté výchovné poselství. Poslední stádium působení viru totiž představuje rozeslání SMS všem kontaktům z telefonního seznamu s následujícím textem:
"Ahoj, právě jsem z internetu stáhl pirátskou verzi aplikace Walk and Text pro Google Android. Jsem hloupý, stála by mě pouze jeden dolar. Nekraď jako já!"
Na závěr trojan uživatele vyzve ke kontrole účtu za telefon, jehož výše se bude odvíjet také od počtu trojanem odeslaných SMS, a také ke stažení legální verze aplikace z Marketu. Otázkou je, proč si autoři vzali na mušku právě aplikaci Walk and Text, jejíž tvůrce nepochybně poškodili.
Na případ upozornil softwarový tým Symantec, který se zabývá vývojem antivirových aplikací pro stolní PC i chytré telefony.
