Zainstalowany na urządzeniu trojan musi zdobyć uprawnienia administratora. W tym celu wyświetla stosowny komunikat co 0,1 sekundy, nie dając użytkownikowi możliwości odmowy. Ramka znika dopiero w momencie, gdy prawa zostaną przyznane.
Wtedy też szkodnik przystępuje do działania, sprawdzając dostępność aktywnego okna aplikacji Google Play. Jeżeli użytkownik otworzy sklep mobilny, wyświetli mu się fałszywa zakładka, w której musi powiązać swoją kartę kredytową. W tym też momencie wszystkie dane zostają wysłane na zdalny serwer cyberprzestępców.
Oprócz danych na temat karty płatniczej, w ręce hakerów dostają się również takie informacje, jak model urządzenia mobilnego, numer IMEI, wersja systemu operacyjnego, lista zainstalowanych aplikacji i treść wszystkich dostępnych wiadomości.
Trojan potrafi także wysyłać wiadomości SMS na predefiniowane numery.
Źródło: Doctor Web