El comportamiento del malware Agent Smith es similar al del conocido CopyCat: camuflándose como una aplicación de Google, aprovecha las vulnerabilidades de Android para clonar las aplicaciones instaladas en el equipo sin el consentimiento del usuario.

Los operadores del malware lo utilizan con el fin de obtener ganancias mediante anuncios maliciosos, pero también puede ser usado para robar información sensible como el acceso a una cuenta bancaria.

El malware Agent Smith se disfraza como aplicaciones de utilidad (es decir, edición de fotos), entretenimiento para adultos o juegos, se propaga a través de tiendas de aplicaciones de terceros, como «9Apps», una tienda respaldada por el equipo de UC, dirigida principalmente a Indian (Hindi) , Árabe, e usuarios indonesios. El dropper inicial descifra e instala automáticamente su malware APK, que generalmente se disfraza de Google Updater, Google Update para U o «com.google.vending». El malware central extrae la lista de aplicaciones instaladas del dispositivo y, al encontrar las aplicaciones de interés, extrae los APK de aplicaciones legítimas, inyecta módulos de anuncios maliciosos y luego vuelve a instalar el APK. Para inyectar el código malicioso, el malware de Android aprovecha varias vulnerabilidades conocidas de Android, incluida la  falla de Janus, que permite omitir las firmas de una aplicación y agregarle un código arbitrario.

Está activo desde principios de 2016 y se centra en ataques a los dispositivos con Android principalmente en India, pero también se detectaron equipos infectados en Bangladesh, Pakistán, Arabia Saudita, Australia, Reino Unido y Estados Unidos. Investigadores encontraron al menos 11 aplicaciones infectadas en Google Play, lo que hace suponer que están experimentando en la tienda oficial para «ampliar» su mercado.