Theo đó, các ứng dụng trên Play Store và App Store chứa bộ công cụ phát triển phần mềm (SDK) đã bị lợi dụng để đánh cắp tiền mã hóa bằng cách sử dụng công nghệ nhận dạng ký tự quang học (OCR). Theo công ty bảo mật Kaspersky, các app bị nhiễm mã độc trên đã được tải xuống hơn 242.000 lần chỉ tính riêng trên các thiết bị Android.
Trên hệ điều hành iOS, tệp dữ liệu này có nhiều tên gọi khác nhau như Gzip, googleappsdk hoặc stat. Ngoài ra, nó sử dụng mô-đun mạng có tên im_net_sys để xử lý giao tiếp với máy chủ thực hiện nhiệm vụ chỉ huy và điều khiển (C2).
Hiện tại, có 18 ứng dụng Android và 10 ứng dụng iOS bị nhiễm mã độc này. Trong đó, nhiều app vẫn khả dụng và tiếp tục lôi kéo người dùng tải xuống. Một trong những ứng dụng được Kaspersky báo cáo là ChatAi trên cửa hàng Play Store với hơn 50.000 lượt cài đặt.
Đội ngũ chuyên gia của Kaspersky khuyến cáo không nên lưu trữ cụm từ khôi phục ví tiền mã hóa dưới dạng ảnh chụp màn hình. Thay vào đó, người dùng có thể sử dụng các kho dữ liệu ngoại tuyến hoặc thiết bị lưu trữ được mã hóa.
