Как пояснили исследователи, атака начинается с так называемого смишинга (от «SMS» и «фишинг») – жертва получает SMS-сообщение с требованием уплатить таможенный сбор за доставку посылки. Если пользователь попался на удочку и нажал на представленную в сообщении ссылку, появляется уведомление о необходимости обновить Google Chrome. После принятия предложения обновить браузер пользователь переадресовывается на сайт с приложением, которое на самом деле является вредоносным.
Когда «обновление» установится, жертва попадает на фишинговую страницу, завершающую схему социальной инженерии. Пользователя просят заплатить небольшую сумму (обычно $1-2), но, безусловно, злоумышленников интересует не этот мизерный заработок, а данные банковской карты жертвы.
По словам специалистов, за вредоносной кампанией стоят обычные, но весьма сообразительные киберпреступники. Используемые ими техники (сокрытие кода, смишинг, похищение данные, повторное архивирование и пр.) по отдельности являются очень простыми, но в совокупности позволяют проводить операцию, которую сложно обнаружить и которая отличается быстротой и эффективностью.
Источником распространения вредоноса является поддельное приложение Google Chrome. Установившись на устройстве жертвы, оно рассылает более 2 тыс. SMS-сообщений в неделю. Сообщения рассылаются ежедневно в течение 2-3 часов в фоновом режиме. Телефонные номера выбираются случайным образом и не берутся из телефонной книги жертвы.