A malware-t különböző csaló alkalmazásokon keresztül terjesztették a Google Play-en, ahonnan az eddig észlelt 9 káros app szerencsére már eltávolításra került, azonban nem hivatalos alkalmazásboltokon továbbra is megtalálhatóak:
- GG Voucher (com.luxcarad.cardid)
- Vote European Football (com.gardenguides.plantingfree)
- GG Coupon Ads (com.free_coupon.gg_free_coupon)
- GG Voucher Ads (com.m_application.app_moi_6)
- GG Voucher (com.free.voucher)
- Chatfuel (com.ynsuper.chatfuel)
- Net Coupon (com.free_coupon.net_coupon)
- Net Coupon (com.movie.net_coupon)
- EURO 2021 Official (com.euro2021)
A káros kódot tartalmazó csaló appok tipikusan valamilyen
kedvezmény ígéretével igyekeznek rávenni az áldozatot a
telepítésre, mint például ingyenes Netflix vagy Google AdWords
kuponok.
Amennyiben az áldozat telepít egy ilyen vírust tartalmazó appot, az a háttérben begyűjti, és a támadók szerverére továbbítja az áldozat Facebook azonosítóját, földrajzi helyzetét, IP címét, valamint olyan sessionadatokat, amelyek birtokában a támadó hozzáférhet az érintett Facebook fiókhoz (session hijacking támadás).
