Основная особенность данного приложения - способность менять пароль на устройстве при попытке жертвы деактивировать права администратора программы или удалить ее. Фальшивая программа может работать на всех версиях Android и распространяется посредством вредоносных ссылок или через сторонние магазины приложений.
После загрузки Fanta SDK активируется только в том случае, если на мобильном гаджете уже установлена оригинальная программа. Далее приложение запрашивает доступ с правами администратора. Как отмечают исследователи, большинство легитимных приложений не запрашивают права администратора.
Получив разрешение пользователя, вредоносное приложение демонстрирует на экране стартовую страницу с логотипом настоящего банка и просит жертву ввести свои учетные данные. Далее полученная информация отправляется на C&C-сервер злоумышленников, которые используют ее для незаметного хищения средств со счетов пользователя.
Заподозрив неладное, жертва может попытаться деактивировать права администратора и удалить вредоносное приложение. Подобные действия приводят к тому, что Fanta SDK меняет пароль на устройстве и в результате пользователь больше не может использовать собственный смартфон или планшет.
Помимо прочего, при запуске легитимного приложения Google Play Store на устройстве вредонос закрывает каталог и отображает на экране фальшивую страницу с рекламным баннером, извещающим жертву о выигрыше смартфона Apple iPhone 6. Для получения "приза" пользователю необходимо указать номер своей кредитной карты и пароль.
