Chủ sở hữu ví thường nhận được cụm từ ghi nhớ dùng khôi phục tài khoản trong trường hợp bị khóa. Cụm từ dài 12-24 từ nên rất khó nhớ, vì vậy họ thường chụp lại màn hình. Số ứng dụng giả chính là nhắm vào cụm từ trên.

McAfee xác định mã độc ngụy trang thành các ứng dụng ngân hàng, ứng dụng nhà nước, ứng dụng phát trực tuyến hoặc ứng dụng tiện ích, khi thâm nhập điện thoại sẽ tìm kiếm ảnh chụp hoặc tin nhắn liên quan. Đối tượng lừa đảo tiến hành phát tác bằng chiến dịch gửi tin nhắn chứa đường dẫn trông hợp pháp qua SMS hoặc mạng xã hội.

Ngay lúc nạn nhân tải xuống và tiến hành cài đặt, ứng dụng sẽ yêu cầu cấp quyền truy cập mọi loại thông tin, từ tin nhắn SMS, danh bạ đến nội dung trong bộ nhớ. Ngoài ra ứng dụng còn muốn chạy ngầm sau khi bị tắt. Nếu nạn nhân đồng ý cấp quyền, ứng dụng giả sẽ lấy đi toàn bộ danh bạ để tiếp tục lừa đảo hoặc phát tán mã độc rộng hơn nữa. Chúng còn đánh cắp mọi tin nhắn có thể chứa mật mã dùng xác thực hai yếu tố hay bất cứ thông tin quan trọng nào khác. Ảnh lưu trong máy, gồm cả ảnh chụp cụm từ khôi phục tài khoản tiền ảo cùng thông tin thiết bị như số điện thoại, hệ điều hành cũng không thoát. Đặc biệt thông tin thiết bị giúp đối tượng lừa đảo điều chỉnh hoạt động sao cho hiệu quả hơn.

McAfee khuyến cáo người dùng thận trọng với việc cài đặt ứng dụng và cấp quyền, lưu trữ thông tin quan trọng một cách an toàn và tách biệt khỏi các thiết bị thường dùng, cài đặt phần mềm bảo mật.