Как говорится в сообщении, опубликованном на сайте Group-IB, вредоносная программа распространяется через MMS-сообщения. Вначале пользователь получает сообщение со ссылкой на фото от кого-то из контактов. При переходе по ссылке на смартфон загружается apk-приложение, которое запрашивает права на доступ к большинству функций, включая возможность отправки платных SMS-сообщений. После установки вредонос запрашивает права администратора, чтобы получить полный доступ к устройству и заменяет собой стандартное приложение для работы с SMS-сообщениями, а также повторно запрашивает право на отправку платных сообщений.
"Попадая на устройство, вредоносная программа рассылает себя по контактным листам жертвы. Параллельно она делает запрос на номер SMS-банкинга жертвы, узнает баланс счета и переводит деньги на счета, подконтрольные злоумышленникам. При этом происходит перехват входящих SMS-сообщений, в результате чего жертва не подозревает, что у нее снимают деньги, даже если подключена функция SMS-оповещений о списаниях", - говорится в сообщении компании.
Кроме того, зловред умеет открывать фальшивые сайты, визуально схожие со страницами авторизации банковских приложений. Если владелец зараженного устройства введет в таком окне данные банковской карты, то они отправятся напрямую к злоумышленникам.
Как подчеркнули в Group-IB, особенность этого зловреда состоит в том, что антивирусные программы, установленные на смартфонах жертв, не детектировали приложение как вредоносное. В качестве мер предосторожности эксперты компании рекомендуют пользователям с максимальной осторожностью относиться к странным сообщениям, даже если они получены от знакомых, обращать внимание на расширения загружаемых файлов и никогда не устанавливать приложения из недоверенных источников.