Theo các công ty bảo mật như Zimperium và Kaspersky, các mã độc được phát hiện gồm PixRevolution, TaxiSpy RAT, BeatBanker, Mirax, Oblivion RAT và SURXRAT. Chúng hoạt động dưới dạng trojan ngân hàng hoặc công cụ điều khiển từ xa (RAT), cho phép tin tặc giám sát thiết bị, đánh cắp thông tin cá nhân và chiếm quyền điều khiển điện thoại.
Trong đó, PixRevolution đặc biệt nguy hiểm khi nhắm vào hệ thống thanh toán tức thời Pix phổ biến tại Brazil. Mã độc có thể theo dõi màn hình điện thoại và thay đổi địa chỉ nhận tiền ngay khi người dùng thực hiện giao dịch, khiến tiền bị chuyển sang tài khoản của tin tặc mà nạn nhân không hề hay biết.
Một số mã độc khác như BeatBanker hay TaxiSpy có thể đánh cắp tin nhắn SMS, danh bạ, lịch sử cuộc gọi và thông tin đăng nhập ngân hàng. Chúng cũng tạo các lớp giao diện giả để lừa người dùng nhập thông tin tài khoản hoặc thay đổi địa chỉ ví tiền số khi giao dịch.
Đáng chú ý, một số biến thể mới còn tích hợp mô hình trí tuệ nhân tạo nhằm tăng khả năng theo dõi và né tránh hệ thống bảo mật. Các chuyên gia cảnh báo người dùng Android cần thận trọng khi cài ứng dụng từ nguồn không chính thức và hạn chế cấp quyền truy cập hệ thống cho các ứng dụng lạ.
