Android aplikacije koje se predstavljaju kao Gugl, Instagram, Snepčet, Vocap i X, kradu lozinke korisnika sa zaraženih telefona.
Istraživači iz "SonicWall Capture Labs" su upozorili da malver koristi poznate ikone Android aplikacija da bi se korisnici namamili da instaliraju zlonamjerne aplikacije.
Kako se aplikacije distribuiraju trenutno nije jasno. Međutim, kada se aplikacije instaliraju na telefone, zahtjevaju od korisnika da im daju dozvole za usluge pristupačnosti i API administratora uređaja. Dobijanje ovih dozvola omogućava lažnoj aplikaciji da preuzme kontrolu nad uređajem, što omogućava izvođenje niza radnji u rasponu od krađe podataka do instaliranja malvera a da žrtve to ne primjete.
Malver se poslije instalacije povezuje sa serverom za komandu i kontrolu (C2) da bi dobio instrukcije, što mu omogućava pristup listama kontakata, SMS porukama, evidencijama poziva, listi instaliranih aplikacija, slanje SMS poruka, otvoranje stranica u veb pretraživaču i uključivanje svjetla kamere.
"Phishing" URL-ovi oponašaju stranice za prijavu za poznate sajtove kao što su Fejsbuk, GitHub, Instagram, LinkedIn, Majkrosoft, Netfliks, PejPal, Proton Mail, Snepčet, Tumblr, X, VordPres i Jahu.