Троян совершает обычную проверку эмулятора. Если проверка не показывает работу приложения в эмуляторе, запускается фоновый таймер. Таймер безостановочно открывает диалоговые окна активации административного доступа к устройству, пока не будут получены права администратора. После нажатия на кнопку «Отмена» сразу появляется новое окно. Процесс продолжается до момента получения административного доступа. Процедура повторяется уже с диалоговыми окнами диспетчера SMS, который требуется сделать по умолчанию.
Вредонос отправляет информацию об устройстве и перехваченные SMS на C&C-сервер и получает от преступников дальнейшие команды. Отправляемая на сервер информация включает серийный номер мобильного устройства, код государства, название мобильного оператора, версию Android-устройства, номер телефона, серийный номер SIM-карты, текущий номер версии трояна и уникальный идентификационный номер зараженного устройства. Помимо получения данных о контактах, SMS, звонках и установленных приложениях, вредонос получает GPS координаты устройства. Также троян отправляет на сервер данные о наличии административных прав и переведении диспетчера SMS в статус «по умолчанию». Права администратора также дают возможность трояну удаленно заблокировать зараженное устройство.
Для получения данных кредитных карт жертвы троян открывает на устройстве поддельное окно Google Play. Однако при внимательном рассмотрении окна видно, что слово Play пишется с маленькой буквы. Помимо этого, вредонос поддерживает команды для загрузки APK, позволяет блокировать экран и перенаправлять вызовы. Антивирусными решениями компании Avast троян идентифицируется как Android: Banker-IR. В случае заражения пользователю придется сбросить настройки устройства до заводских.
.jpg)
