Untuk halaman phising, hacker menyiapkan halaman login palsu yang sangat mirip halaman login milik layanan terkenal, seperti Facebook, GitHub, Instagram, LinkedIn, Microsoft, Netflix, PayPal, Proton Mail, Snapchat, Tumblr, X, WordPress, dan Yahoo. Tujuannya untuk menjebak korban. Pengguna ponsel Android yang tidak waspada bakal memasukkan nama pengguna dan kata sandi di laman login phising tadi secara sukarela. Nama pengguna dan kata sandi yang sudah dimasukkan inilah yang kemudian diteruskan ke peretas.
Dari sini peretas dapat mengambil alih akun online korban dan melakukan penipuan, bahkan pencurian identitas—jika cukup banyak informasi sensitif dan pribadi yang terkandung dalam satu layanan. Misalnya, jika peretas mendapatkan kredensial Microsoft korban, dan korban menggunakan OneDrive untuk menyimpan salinan SIM, paspor, atau bahkan nomor Jaminan Sosial mereka, para peretas dapat menggunakan data tersebut untuk mencuri identitas pengguna.
Tidak diketahui secara jelas bagaimana aplikasi berisi malware ini menyebar. Namun, sebagaimana laporan SonicWall Capture Labs, aplikasi palsu yang menyerupai aplikasi populer di ponsel Android ini dapat disebarkan di situs phishing, melalui e-mail atau pesan teks, atau bahkan mungkin disertakan dengan perangkat lunak bajakan seperti ketika men-download APK sembarangan di web.
