Kada ih korisnik instalira, lažne aplikacije od njega zahtijevaju dozvole za pristup funkcijama i sadržaju uređaja, što im omogućava da preuzmu kontrolu nad uređajem, kradu podataka, instaliraju malver.
Novi malver, koji koristi dobro poznate ikonice Android aplikacija, korisnike te platforme navodi da instaliraju zlonamjerne aplikacije koje se predstavljaju kao Gugl, Instagram, Snepčet, Vocap, i bivši Tviter, odnosno platforma X.
One, na taj način, kradu lozinke korisnika sa pametnih telefona na kojima su instalirane, upozoravaju istraživači laboratorije za sajber bezbjednost "SonicWall Picture".
Kada su instalirane, aplikacije od korisnika zahtijevaju dozvole za pristup funkcijama i sadržaju uređaja, kao i API-ju administratora. Ono što, međutim, nije jasno je kako se ove aplikacije distribuiraju. Davanje dozvola od strane korisnika lažnim aplikacijama omogućava da preuzmu kontrolu nad uređajem, krađu podataka, instaliranja (drugih) malver-a, a da to korisnici uređaja ne mogu da primijete.
Nakon instaliranja, malver se povezuje sa serverom za daljinski pristup i kontrolu (C2) kompromitovanim uređajima od koga dobija instrukcije. Nakon toga mu je omogućen pristup kontaktima, SMS porukama, listama poziva, instaliranim aplikacijama, slanju SMS poruka, otvaranju phishing stranica u veb pretraživaču i uključivanju lampe (odnosno blica kamere).
Fišing URL adrese oponašaju sajtove za prijavljivanje na poznate internet platforme i servise kao što su Fejsbuk, GitHub, Instagram, LinkedIn, Majkrosoft, Netfliks, PejPal, Proton Mejl, Snepčet, Tumblr, X, VordPres i Jahu.
