Апликациите за „Android“ кои се претставуваат како „Google“, „Instagram“, „Snapchat“, „WhatsApp“ и „X“ крадат кориснички лозинки од заразените телефони.
Истражувачите од „SonicWall Capture Labs“ предупредија дека малициозен софтвер користи познати икони на апликации за „Android“ за да ги измами корисниците да инсталираат малициозни апликации.
Во моментов не е јасно како се дистрибуираат апликациите. Меѓутоа, кога апликациите се инсталирани на телефони, тие бараат од корисниците да им дадат услуги за пристапност и дозволи за „API“ на администраторот на уредот. Добивањето на овие дозволи им овозможува на една непријателска апликација да ја преземе контролата врз уредот, дозволувајќи и да изврши различни дејства, почнувајќи од кражба на податоци до инсталирање малициозен софтвер без жртвите да забележат.
По инсталацијата, малициозниот софтвер се поврзува со серверот за команди и контрола (C2) за да прима инструкции, што му овозможува пристап до списоците со контакти, СМС пораки, листа на повици, листа на инсталирани апликации, испраќање СМС пораки, отворање страници за фишинг во веб-прелистувач и вклучување на светлото на камерата.
УРЛ-адресите за фишинг имитираат страници за најавување за добро познати сајтови како што се „Facebook“, „GitHub“, „Instagram“, „LinkedIn“, „Microsoft“, „Netflix“, „PayPal“, „Proton Mail“, „Snapchat“, „Tumblr“, „X“, „WordPress“ и „Yahoo“.