Када их корисник инсталира, лажне апликације од њега захтијевају дозволе за приступ функцијама и садржају уређаја, што им омогућава да преузму контролу над уређајем, краду података, инсталирају малвер.
Нови малвер, који користи добро познате иконице Андроид апликација, кориснике те платформе наводи да инсталирају злонамјерне апликације које се представљају као Гугл, Инстаграм, Снепчет, Воцап, и бивши Твитер, односно платформа X.
Оне, на тај начин, краду лозинке корисника са паметних телефона на којима су инсталиране, упозоравају истраживачи лабораторије за сајбер безбједност "SonicWall Picture".
Када су инсталиране, апликације од корисника захтијевају дозволе за приступ функцијама и садржају уређаја, као и АПИ-ју администратора. Оно што, међутим, није јасно је како се ове апликације дистрибуирају. Давање дозвола од стране корисника лажним апликацијама омогућава да преузму контролу над уређајем, крађу података, инсталирања (других) малвер-а, а да то корисници уређаја не могу да примијете.
Након инсталирања, малвер се повезује са сервером за даљински приступ и контролу (Ц2) компромитованим уређајима од кога добија инструкције. Након тога му је омогућен приступ контактима, СМС порукама, листама позива, инсталираним апликацијама, слању СМС порука, отварању пхисхинг страница у веб претраживачу и укључивању лампе (односно блица камере).
Фишинг УРЛ адресе опонашају сајтове за пријављивање на познате интернет платформе и сервисе као што су Фејсбук, ГитХуб, Инстаграм, ЛинкедИн, Мајкрософт, Нетфликс, ПејПал, Протон Мејл, Снепчет, Тумблр, X, ВордПрес и Јаху.
