ทีม Dell SonicWALL Threats Research ได้รับรายงานถึงโทรจัน Android Banker ตัวใหม่ที่ใช้การทำ Staganography หรือการแอบซ่อนตัวอยู่ภายในไฟล์ที่เป็นรูปภาพ ทำให้ยากต่อการตรวจจับ
จุดเริ่มต้นของการทำงานของ Android Banker ตัวนี้ก็คือการติดตั้ง APK ที่มีการขอสิทธิ์ในการอ่านและเขียน External Storage ในระดับของ Administrative Privileges จากนั้นเมื่อเหยื่อกดอนุญาตแล้ว ตัว APK ก็จะหายไปจากหน้า App Drawer เพื่อให้คนเข้าใจว่ามันถูกลบออกไปจากเครื่องแล้ว แต่ในความเป็นจริงก็คือ APK ตัวนี้ยังคงแอบทำงานอยู่แบบ Background ภายในเครื่องของเหยื่อ
APK ตัวนี้จะทำการเปิดไฟล์ภาพที่ถูกแนบมาด้วยกัน และดูเหมือนจะเป็นไฟล์ภาพธรรมดาๆ เพื่อค้นหา String ที่ตรงกับ 12345678901234567890 ภายในไฟล์ภาพนั้น และนำข้อความที่ต่อท้าย String นี้ทั้งหมดมา Decode ด้วย Base64 สร้างออกมาเป็น APK ตัวที่ 2 สำหรับใช้ในการโจมตี และทำการติดตั้งทันทีด้วยสิทธิ์ Administrator ที่ขอมาแต่แรก
APK ตัวที่สองนี้จะทำการส่งข้อมูลเกี่ยวกับอุปกรณ์ ได้แก่ OS Version, Phone Model, Phone Number, IMEI และ Installed Application ออกไปยัง 75jng75ufnf.