在这波行动里，大部分（95%）的恶意应用程序并未具备黑客宣称的功能，攻击者基础设施的规模也相当庞大，不仅有13个C2服务器用来接收恶意软件偷到的短信内容，约有2,600个Telegram机器人与之相关，攻击者可能借此散布部分恶意应用程序。

值得留意的是，攻击者能够回避许多杀毒软件的侦测，因此，行动设备可能需要通过多种管道来强化安全。

究竟黑客如何发起攻击行动？他们先冒充Google Play应用程序市集发送广告，或是借由自动化的Telegram机器人，向目标用户取得联系，提供APK文件，一旦用户依照指示安装，手机就会侧载恶意软件，向使用者请求读取短信的权限。

若是用户同意这项授权要求，此恶意程序就会与C2服务器连接，接收并运行命令，以及收集受害手机里的数据。特别的是，这些恶意软件最初是通过Firebase数据库取得C2服务器IP位址，但后来黑客调整手法，改用GitHub存储库，或是直接在恶意软件内嵌C2服务器IP位址。

接着，该恶意程序会创建专属信道，回传窃得的短信内容，并解析当中是否含有动态密码相关信息。最终该恶意软件会维持隐藏状态，不断监控受害手机的短信内容，以便随时拦截用于验证的动态密码。