Мошенники создали несколько фишинговых сайтов, на которым предлагалось заполнить заявление на получение крупной выплаты. В этом документе требовалось указать фамилию, имя и отчество, телефон и информацию о банковских картах.
После этого от посетителей сайта требовалось скачать «сертификат безопасности», под видом которого скрывалось вредоносное приложение. Оно должно было запускаться в автоматическом режиме, читать смс-сообщения и получать доступ к другой информации, позволяющей перехватить управление интернет-банкингом.
Дополнительно к основному сайту аферисты создали ряд других доменов, на которых распространялось приложение. При этом они использовали украинский хостинг UCOZ. Отмечается, что это весьма редкое явление при столь масштабных аферах.