A kínai gyártású, olcsó Android készülékek előtelepített, trójai kódot tartalmazó alkalmazásokkal kerültek forgalomba. Az applikációk, melyek többek között a WhatsApp és a Telegram hamisított verziói, kriptovaluta clipper funkcióval vannak felszerelve.
A támadók közvetlenül a gyártási és szoftver előtelepítési folyamatba avatkoznak be. A kompromittált készülékeken a rosszindulatú kódokat magában a gyári szoftverbe integrálták. Az érintett eszközök többsége belépő szintű okostelefon, amelyek külső megjelenésükben prémium modelleket, például Samsung S23 Ultra, S24 Ultra vagy Huawei Note 13 Pro készüléket imitálnak. Legalább négy modell a SHOWJI márkanév alatt fut.
A készülékek gyakran hamis rendszerinformációkat jelenítenek meg, megtévesztve a felhasználókat a hardveres és szoftveres képességeikről. Ez nemcsak a rendszer „Eszköz adatai” menüpontjában hamisított, hanem olyan diagnosztikai alkalmazásokban is, mint az AIDA64 vagy a CPU-Z. A telefonok azt mutatják, mintha Android 14 futna rajtuk, pedig valójában sokkal régebbi verziókkal működnek.
A kártékony kódok az LSPatch nevű nyílt forráskódú projekt segítségével kerülnek be az alkalmazásokba. Az elemzett esetekben a Shibai névre keresztelt trójai módosítja az applikációk frissítési folyamatát, így a készülékek egy támadók által kontrollált szerverről töltik le az új APK fájlokat.
A fertőzött appok, amelyek között üzenetküldők és QR-kód olvasók is szerepelnek, többek között képesek, hogy figyeljék a felhasználó által folytatott beszélgetéseket, és ha kriptovaluta tárca címeket azonosítanak, azokat automatikusan lecserélik a támadók saját címeire. Az egyik legveszélyesebb jellemző a clipper funkció: a fertőzött eszközön a felhasználó mindig a saját címét látja, miközben a kommunikáció másik végén a cím már a támadóké.
A rosszindulatú szoftver nem csupán címeket cserél, hanem az eszközről származó egyéb érzékeny adatokat is összegyűjti: eszközinformációkat, WhatsApp üzeneteket, valamint a felhasználó képtáraiban található .jpg, .png és .jpeg fájlokat. A cél ezekben a képekben az úgynevezett wallet recovery phrase-ek felkutatása, amelyek segítségével a támadók teljes hozzáférést szerezhetnek a célpont kriptopénz tárcáihoz, és kiüríthetik azokat.
Az elemzések alapján több mint 30 domain szolgál a fertőzött alkalmazások terjesztésére, valamint több mint 60 különböző C2 (command-and-control) szerver koordinálja az adatgyűjtést és a parancsokat.
