Oprócz infekcji smartfona poprzez wiadomości e-mail, trojan potrafi również nałożyć się na Sklep Play firmy Google, prezentując stronę phishingową, która jest wykorzystywana do kradzieży danych dotyczących kart płatniczych. W rzeczywistości trojan ten może pobrać długą listę aplikacji będących celem jego ataków, a nawet szablonową stronę HTML w celu wygenerowania stron phishingowych dla odpowiednich aplikacji. Badacze z Kaspersky Lab zidentyfikowali listę 2 249 aplikacji finansowych, które znajdują się na celowniku szkodnika.
Podczas procesu wstępnej infekcji trojan żąda praw administratora, zgody na nałożenie się na inne aplikacje lub bycie domyślną aplikacją obsługującą SMS-y — często nie pozostawiając użytkownikom innej możliwości niż spełnienie jego żądania. Uprawnienia te umożliwiają trojanowi między innymi kradzież danych: zarówno bezpośrednio, np. kontaktów i plików, jak i pośrednio, poprzez strony phishingowe.
Kaspersky Lab przypomina o trzech prostych krokach, które pomogą zabezpieczyć się przed atakiem ransomware:
- Zawsze tworzymy kopie zapasowe swoich danych
- Nie zgadzamy się automatycznie na udzielenie zezwoleń aplikacji – zastanawiamy się o co ona prosi i dlaczego
- Instalujemy rozwiązanie antywirusowe na wszystkich używanych przez nas urządzeniach