Auf welches Smartphone die App übertragen werden soll, stellt der Android Market mit Hilfe des Google-Kontos fest, über das sich der Anwender sowohl via PC als auch via Smartphone angemeldet hat. Das ist so lange unproblematisch, wie die entsprechenden Zugangsdaten nicht in falsche Hände geraten.
Haben Phisher nun aber Zugangsdaten zu Google-Konten erbeutet, ist es für sie ein leichtes, schädliche Apps, die sie selbst in den Android Market eingestellt haben, auf die mit den Konten verbundenen Smartphones zu übertragen. Ist die App so konfiguriert, dass sie zum Beispiel bereits beim Verlassen des Standby-Modus aktiv wird, kann sie sogar ganz ohne Zutun des Anwenders gestartet werden.
Bislang fehlt eine Sicherheitsabfrage vor Beginn des Downloads oder der Installation. Aufmerksame Nutzer registrieren lediglich einen verkürzten Hinweis in der oberen Statuszeile des Android-Bildschirms, der auf eine erfolgreiche Installation aufmerksam macht. Sicherheitsexperten mahnen deshalb eine dringende Nachbesserung des Verfahrens an: Nutzer sollten entweder die Möglichkeit bekommen, die Ferninstallation komplett zu deaktivieren oder zumindest auf dem Smartphone auf eine beabsichtigte Installation hingewiesen werden und einer entsprechenden Sicherheitsabfrage zustimmen müssen.
