Вирусы для смартфонов всё больше напоминают обычный коммерческий софт по подписке или франшизу. Например, инструмент Cyber Android RAT сдают в аренду за 500 баксов, это только один из подобных продуктов. В комплекте есть десктопная панель управления и служба поддержки. Система изначально спроектирована как конвейер для автоматического сбора данных, скачивая переписку из WhatsApp, записывая звук и охотясь за криптовалютой.
Как только человек открывает приложение криптокошелька, запускается скрипт. Он незаметно смотрит интерфейс приложения: посимвольно фиксирует вводимый пароль, проверяет баланс и копирует seed-фразу Для случаев, когда автоматика не справляется, предусмотрен ещё более неприятный режим «призрака». Он позволяет оператору пользоваться смартфоном параллельно с владельцем, в фоновом режиме открывая банковские приложения. При этом на самом экране устройства никакой активности не видно, а система заранее перехватывает пуш-уведомления и СМС с кодами подтверждения.
Автоматизация работает за счёт системной функции - специальных возможностей Android, которые изначально создавались для помощи людям с нарушениями зрения или моторики. Чтобы получить к ним доступ, вредоносный файл маскируется под обновление системы. Если при установке пользователь на автомате даёт программе расширенные права, она получает возможность считывать содержимое любых экранов и имитировать нажатия кнопок. В новых версиях Android (16 и 17) появляются механизмы для приложений затруднить доступ к чувствительным данным, но всё равно стоит осторожно подходить к установке приложений и раздаче разрешений.