Троян был впервые замечен специалистами еще в 2016 году, и еще тогда эксперты предположили, что за малварью стоит хакерская группа, а не одиночка-вирусописатель. Работали злоумышленники следующим образом. Когда клиенты банков устанавливали приложение «Банки на ладони» и вводили в него данные своих карт, вредонос отправлял поступающую информацию на сервер преступников. Те переводили деньги пользователей на заранее подготовленные банковские счета суммами от 12 000 до 30 000 рублей за один перевод, вводя SMS-коды подтверждения операции, перехваченные на телефонах жертв. Сами пользователи далеко не сразу понимали, что стали жертвами преступников, так как на зараженном устройстве SMS-подтверждения транзакций блокировались.
Правоохранители выяснили, что поначалу злоумышленники в среднем похищали от 100 000 до 300 000 рублей ежедневно, но в последнее время эта цифра возросла до 500 000 рублей в день. При этом часть денег в целях маскировки и более безопасного вывода средств переводили в криптовалюту.
Так как преступник признал свою вину и активно дает показания, представители следствия решили не ходатайствовать о его аресте и ограничились подпиской о невыезде.