Như các nhà nghiên cứu lưu ý, chủ sở hữu ví tiền điện tử thường nhận được các cụm từ ghi nhớ mà họ có thể sử dụng để khôi phục tài khoản của mình trong trường hợp bị khóa. Những cụm từ này thường bao gồm 12 đến 24 từ và việc chụp ảnh màn hình chúng là điều không hiếm. Các ứng dụng Android giả mạo được nhóm nghiên cứu di động của McAfee phát hiện nhắm vào các cụm từ này bằng cách quét điện thoại để tìm hình ảnh có thể chứa chúng.
Theo các nhà nghiên cứu của McAfee, phần mềm độc hại này ngụy trang thành các ứng dụng ngân hàng, chính phủ, phát trực tuyến và tiện ích. Những kẻ lừa đảo phát tán các ứng dụng này thông qua các chiến dịch lừa đảo bằng cách gửi tin nhắn văn bản hoặc tin nhắn trực tiếp trên phương tiện truyền thông xã hội có chứa các liên kết đến các trang web lừa đảo trông có vẻ hợp pháp. Khi đến đó, nạn nhân được nhắc tải xuống một ứng dụng cài đặt phần mềm độc hại trên điện thoại của họ.
Ứng dụng Android giả mạo sau đó sẽ yêu cầu quyền truy cập vào mọi loại thông tin nhạy cảm trên điện thoại, từ tin nhắn SMS, danh bạ cho đến bộ nhớ. Chúng cũng muốn chạy ở chế độ nền mà người dùng không chú ý.
Những gì 280 ứng dụng Android giả mạo có thể đánh cắp từ điện thoại của người dùng gồm danh bạ (lấy toàn bộ danh sách liên hệ của người dùng nhằm phục vụ các hành vi lừa đảo tiếp theo hoặc để phát tán phần mềm độc hại xa hơn nữa); tin nhắn SMS (thu thập và gửi tất cả tin nhắn SMS đến, có thể chứa mã riêng dùng để xác thực hai yếu tố hoặc thông tin quan trọng khác); ảnh (ứng dụng tải lên bất kỳ hình ảnh nào được lưu trữ trên thiết bị lên máy chủ của kẻ tấn công, có thể là ảnh cá nhân hoặc các hình ảnh nhạy cảm khác); thông tin thiết bị (thu thập thông tin chi tiết về chính thiết bị như phiên bản hệ điều hành và số điện thoại, giúp kẻ tấn công tùy chỉnh các hoạt động độc hại của chúng một cách hiệu quả hơn).
Các nhà nghiên cứu di động tại McAfee khuyến cáo người dùng phải thận trọng với các hành động của mình, chẳng hạn như cài đặt ứng dụng và cấp quyền. Người dùng cũng nên lưu trữ thông tin quan trọng một cách an toàn và tách biệt khỏi các thiết bị, đồng thời cài đặt phần mềm bảo mật để bảo vệ các thiết bị.