Киберхавфсизлик соҳасидаги тадқиқотчи Лукас Стефанконинг аниқлашича, телефон суҳбатларини ёзиб олишга мўлжалланган QRecorder иловаси фойдаланувчилар ҳисобидан пулларни ўғирлаган. Унинг тадқиқоти BleepingComputer сайтида эълон қилинди.
Дастур мобиль қурилмани сканердан ўтказган ва банк иловаларини кузатиб борган. Фирибгарлик кўринишидаги дастурий таъминот шу тариқа тузилганки, бунда фойдаланувчи мобиль банкдан фойдаланиш бўйича ҳар бир уринишда фишинг бандга барча маълумотларни киритган. Ҳисоб ҳақидаги барча маълумот автоматик равишда жиноятчиларга келиб тушган. Бундан ташқари, вирус икки босқичли аутентификацияли махфий сўзларга эга матнли хабарларни тутиб олган.
Стефанконинг маълум қилишича, дастур барча маълум қилинган функцияларни тўғри бажарган, шунинг учун юзерларда шубҳа келтириб чиқармаган. У Google Play дўкони орқали тарқатилган ва ўн мингдан ортиқ маротаба сотиб олинди. Вируснинг бир нечта қурбонлари ҳақида маълумот бор: кибержиноятчилар уларнинг ҳисобларидан минглаб евро пулни ўмаришди.
Илова арсеналида - Германия, Чехия, Польша ва Австрия банкларининг (Raiffeisen Bank, AirBank, Oberbank, Bank Austria, ING, ČSOB ва бошқалар) сохта интерфейслари мавжуд.
