Orange poinformował, że przestępcy umieścili w sieci podróbkę strony sklepu Google PLAY z aplikacją mObywatel dla systemu Android. Można ją było znaleźć pod adresem m-obywatel.pl. Na tę witrynę już nie da się wejść, bo w rejestrze DNS ma zapis „Trwa postępowanie wyjaśniające [REGISTERED, ze statusem clientHold/serverHold]”. Plik APK był trojanem bankowym Alien. Alien to mutacja popularnego Cerberusa. Pozwalająca ona m.in. na wyświetlanie tzw. nakładek. Dzieje się tak np. w przypadku korzystania z aplikacji bankowych, gdzie wpisywane poświadczenia logowania trafiają automatycznie do złodziei. A ponieważ Alien potrafi dużo więcej – przekazuje im też SMSy (m.in. z kodem do przeprowadzenia transakcji bankowej). Poza tym umie zapisywać naciśnięcia przycisków, czy przechwytywać dane lokalizacyjne z naszego smartfona.