A FireEye kutatói decemberben azonosították az új androidos trójait, amely az online bankolókat zsebeli ki. Miután a mobilra települt, figyeli a műveleteket, és ha banki alkalmazás indul, kidob egy hamis felhasználói felületet, amin keresztül ellopja a jelszavakat és más bizalmas infókat.
A SlemBunk megjelenése óta folyamatosan fejlődik: jelenleg több, mint harminc bank és két népszerű fizetési szolgáltatás felületét tudja utánozni, és míg eleinte appok kalózkópiáival terjedt, ma már sokkal trükkösebben keríti be áldozatát. A pornóoldalt böngésző balek üzenetet kap, hogy a videó lejátszásához frissítse Flash Playerét. Ehhez egy APK-t (androidos alkalmazáscsomagot) kell letöltenie, ami nem direkten kártékony, emiatt simán átcsúszik a beépített ellenőrzési rendszeren. Csakhogy létrehoz egy átmeneti APK-t, amely dinamikusan betöltődik a memóriába. Ez még mindig nem rosszindulatú, de tartalmaz egy rutint, ami letölti az utolsó, kártékony kódot.
A háromlépcsős eljárás megnehezíti a detektálást, és a letöltő az aktív rész törlése után újra letölti a kódot. Ez a kifinomultság arra utal, hogy a SlemBunk mögött olyan fejlesztők állnak, akiktől még sok piszkos trükk várható.
