在這波行動裡，大部分（95%）的惡意應用程式並未具備駭客宣稱的功能，攻擊者基礎設施的規模也相當龐大，不僅有13個C2伺服器用來接收惡意軟體偷到的簡訊內容，約有2,600個Telegram機器人與之相關，攻擊者可能藉此散佈部分惡意應用程式。

值得留意的是，攻擊者能夠迴避許多防毒軟體的偵測，因此，行動裝置可能需要透過多種管道來強化安全。

究竟駭客如何發起攻擊行動？他們先冒充Google Play應用程式市集發送廣告，或是藉由自動化的Telegram機器人，向目標使用者取得聯繫，提供APK檔案，一旦使用者依照指示安裝，手機就會側載惡意軟體，向使用者請求讀取簡訊的權限。

若是使用者同意這項授權要求，此惡意程式就會與C2伺服器連線，接收並執行命令，以及收集受害手機裡的資料。特別的是，這些惡意軟體最初是透過Firebase資料庫取得C2伺服器IP位址，但後來駭客調整手法，改用GitHub儲存庫，或是直接在惡意軟體內嵌C2伺服器IP位址。

接著，該惡意程式會建立專屬通道，回傳竊得的簡訊內容，並解析當中是否含有動態密碼相關資訊。最終該惡意軟體會維持隱藏狀態，不斷監控受害手機的簡訊內容，以便隨時攔截用於驗證的動態密碼。