Android aplikacije koje se predstavljaju kao Google, Instagram, Snapchat, WhatsApp i X, kradu lozinke korisnika sa zaraženih telefona.
Istraživači iz SonicWall Capture Labs su upozorili da malver koristi poznate ikone Android aplikacija da bi se korisnici namamili da instaliraju zlonamerne aplikacije.
Kako se aplikacije distribuiraju trenutno nije jasno. Međutim, kada se aplikacije instaliraju na telefone, zahtevaju od korisnika da im daju dozvole za usluge pristupačnosti i API administratora uređaja. Dobijanje ovih dozvola omogućava lažnoj aplikaciji da preuzme kontrolu nad uređajem, što omogućava izvođenje niza radnji u rasponu od krađe podataka do instaliranja malvera a da žrtve to ne primete.
Malver se posle instalacije povezuje sa serverom za komandu i kontrolu (C2) da bi dobio instrukcije, što mu omogućava pristup listama kontakata, SMS porukama, evidencijama poziva, listi instaliranih aplikacija, slanje SMS poruka, otvoranje phishing stranica u veb pretraživaču i uključivanje svetla kamere.
Phishing URL-ovi oponašaju stranice za prijavu za poznate sajtove kao što su Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress i Yahoo.