Система работает таким образом, что технология внедряет в телефон вредоносный компонент, который отслеживает приложения российских банков. Сканеры загрузили более 200 тысяч раз, а отзывы на их страницах лишь положительные.
После установки вредоносное приложение выясняет, стоит ли загружать вирус на телефон. В случае соответствия, программа запрашивает «обновление», в результате которого появляются неизвестные приложения. Под видом обновления загружается вредоносный код, который затем запрашивает разрешение на предоставление полного доступа к телефону.
В числе вредоносных приложений найдена программа по занятиям фитнесом. Пользователям внушают, что под обновлениями они получат дополнительные тренировки и комплекс питания.