一旦恶意应用被打开,它就会显示一个虚假的错误信息并退出,然后在后台默默地运行。恶意应用将其图标隐藏在Android主屏幕上的应用程序列表中,如果不仔细查看就很难发现。随后,在每次打开受感染的智能手机或平板电脑时,Clipper木马就会随之自行启动。
Clipper木马会随时监视剪贴板内容的变化。一旦用户将电子钱包地址复制到剪贴板,它就会将地址发送到由网络犯罪分子控制的命令和控制服务器。然后,从服务器上获取网络犯罪分子的钱包地址,并用它替换剪贴板中的地址。
Clipper木马的开发者目前正在为销售这款Android木马程序在黑客论坛上积极地进行广告宣传。从其发布的广告来看,购买者可以自由地为自己购买的恶意应用副本使用任何应用程序的图标和名称。因此,Doctor Web的病毒分析师预计这款Android木马程序在不久之后可能会以更多合法应用程序的名义大量出现。