Апликациите за Android кои се претставуваат како Google, Instagram, Snapchat, WhatsApp и X крадат кориснички лозинки од заразените телефони.
Истражувачите од SonicWall Capture Labs предупредија дека малициозен софтвер користи познати икони на апликации за Android за да ги измами корисниците да инсталираат малициозни апликации.
Во моментов не е јасно како се дистрибуираат апликациите. Меѓутоа, кога апликациите се инсталирани на телефони, тие бараат од корисниците да им дадат услуги за пристапност и дозволи за API на администраторот на уредот. Добивањето на овие дозволи им овозможува на една непријателска апликација да ја преземе контролата врз уредот, дозволувајќи и да изврши различни дејства, почнувајќи од кражба на податоци до инсталирање малициозен софтвер без жртвите да забележат.
По инсталацијата, малициозниот софтвер се поврзува со серверот за команди и контрола (C2) за да прима инструкции, што му овозможува пристап до списоците со контакти, СМС пораки, листа на повици, листа на инсталирани апликации, испраќање СМС пораки, отворање страници за фишинг во веб-прелистувач и вклучување на светлото на камерата.
УРЛ-адресите за фишинг имитираат страници за најавување за добро познати сајтови како што се Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix“, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress и Yahoo.