Malware označený jako JS_JITON funguje tak, že útočníci umísťují svůj kód do napadených webových stránek. Jakmile k některé z nich přistoupí uživatel z mobilního zařízení, spustí se javascriptový kód v jeho prohlížeči a zkusí se přihlásit na domácí router pomocí připravené sady nejčastějších uživatelských jmen a hesel (aktuálně více než 1400 kombinací).
K ohroženým routerům patří výrobky firem ZTE, D-Link a TP-LINK. Malware se však stále vyvíjí, je tedy možné, že bude schopen napadat i jiné routery a také měnit jiným způsobem své chování. Výzkumníci z Trend Micro proto doporučují udržovat firmware routerů aktuální a vyhnout se používání výchozích přístupových údajů.
Poznámka autora: Ochranou proti následkům nechtěných změn nastavení DNS je technologie DNSSEC (pokud se používá). Ta umožňuje odhalit podvržené záznamy, protože u nich chybí podpis nebo je neplatný.