Die Schadsoftware „ThreatLabZ“ erreicht ihre Angriffsziele mittels so genanntem Social Engineering oder in Form einer Scarware. Dabei versucht das Schadprogramm durch eine fingierte Google-Play-Kreditkartenabfrage an die Bankdaten des jeweiligen Nutzers zu gelangen. Sofern etwaige Sicherheitsprogramme auf dem Android-Gerät installiert sind, versucht „ThreatLabZ“ diese zu deaktivieren.
Für den Anwender scheint es bei der Android-Malware lediglich um ein neues Update für den Chrome-Browser zu gehen. Um das Verbreitungspotential zu vergrößern haben die Hacker verschiedene URLs entwickelt. Mit Bezeichnungen, wie zum Beispiel „goog“ oder „android-update“ soll beim unbedarften Nutzer ein möglichst offizieller Eindruck entstehen. In der Regel sind die jeweiligen Begriffe nur für einen kurzen Zeitraum aktiv, um eine URL-Erkennung für ermittelnde Behörden zu erschweren.
Sicherheitsforscher haben festgestellt, dass das Download-Paket mit „Update_chrome.apk“ unterschrieben wurde. Die vermeintlich neue Version warnt indes vor einem angeblich statt gefundenen Virenangriff und fordert im Anschluss zu einer sofortigen Aktualisierung des Chrome-Browsers auf. Ist die Malware installiert, erhält sie administrative Rechte auf dem mobilen Endgerät und sendet die persönlichen Bankdaten des Anwenders an den Kommandoserver. Kurznachrichten, die Browserhistorie sowie Anruflisten schickt das Schadprogramm ebenfalls an seinen kriminellen Erzeuger.