После загрузки троян пытается получить доступ к возможностям администратора устройства и защититься, таким образом, от удаления. Кроме того, каждые 25 секунд зловред передает на сервер такую информацию, как название модели устройства, IMEI, язык, данные об активации прав администратора. После этого он ищет банковские приложения на устройстве и загружает с сервера нужные поддельные экраны для ввода логина и пароля. Фальшивые экраны выводятся при запуске банковских клиентов и блокируют его, пока пользователь не введет логин и пароль. Затем эти данные отправляются на сервер, а злоумышленники могут зайти и украсть деньги со счета. При этом зловред также получает доступ к SMS, перехватывает сообщения от банка и удаляет их. На данный момент троян заточен под 20 крупнейших банков Австралии, Новой Зеландии и Турции, но его можно легко адаптировать и для других банков.
Источник: ESET