Những kẻ tấn công không khai thác lỗ hổng này, nhưng lợi dụng sự lo lắng của người dùng Android đối với sự tồn tại của nó.
Khi lỗ hổng này được công bố vào cuối tháng 3, Palo Alto Networks đã cung cấp một ứng dụng quét lỗ hổng bảo mật miễn phí mang tên Installer Hijacking Scanner (ứng dụng quét hack trình cài đặt) để kiểm tra xem liệu thiết bị có bị ảnh hưởng bởi lỗi bảo mật này hay không.
Tuy nhiên sau đó ứng dụng này đã bị lợi dụng làm mồi nhử cho ít nhất một trang web.
Với tính hiếu kỳ, khi nhấp vào hai nút download người dùng sẽ được đưa đến trang chính thức Google Play nơi chứa ứng dụng quét này, nhưng nếu vô ý nhấn vào bất cứ nơi nào khác trên trang web người dùng sẽ bị chuyển hướng đến các trang web chứa các khảo sát trực tuyến hay các bản cập nhật phần mềm giả mạo.
Song song đó, một tập tin sẽ được tự động tải về thiết bị: một SMS Trojan, một phần mềm quảng cáo, hoặc cũng có thể là một ứng dụng hợp pháp.
Các nhà nghiên cứu bảo mật tại Trend Micro cũng tìm thấy hai trang web tương tự khác. Một trong số chúng (trang này dẫn đến một trang web đáng ngờ khác) thường bị đóng, và các nhà nghiên cứu tin rằng đây là cách mà nó đã dùng để tránh bị phát hiện. Trang còn lại dẫn đến một trang web thứ ba có bật lên một pop-up thông báo rằng điện thoại của khách viếng thăm đã bị nhiễm "(13) Virus!"
Không có tập tin nào bị tự động tải về từ các trang web này cả, và trong trường hợp thứ hai ở trên, các cửa sổ pop-up vẫn hiển thị ngay cả khi người dùng nhấp chuột vào nút OK hoặc đóng trình duyệt. Tab trình duyệt hiển thị trang web đó cũng vẫn còn hiển thị mỗi khi trình duyệt được mở lại.
"Việc lợi dụng một sự kiện nóng hay mới chính là mấu chốt cho việc lừa đảo trên mạng", Nhà phân tích lừa đảo của Trend Micro, ông Gideon Hernandez nhấn mạnh, và khuyên: “Người dùng nên luôn ghé thăm các trang web có uy tín để biết thông tin. Khi muốn tải về các bản sửa lỗi cho các lỗ hổng và các mối đe dọa khác, cách tốt nhất là chỉ liên hệ với nhà phát triển hoặc các nguồn chính thức".