Принцип работы «Крестного отца» незамысловат — программа имитирует сайты банковских и криптовалютных приложений, похищая данные пользователей в момент ввода.
Более того, ПО умеет отправлять push-уведомления, чтобы получить коды двухфакторной аутентификации.
Специалисты BaFin стараются разобраться, каким образом вредоносная программа попадает на устройства пользователей.

Эксперты обнаружили троян еще в 2021 году, однако тогда программа была недоработана. Впервые улучшенный и полностью готовый билд «Крестного отца» обнаружили в декабре — на Android-устройствах.
Программа была нацелена на пользователей из 16 стран. В основном троян ориентируется на банковские приложения из США и на 110 платформ обмена криптовалютами, а также 94 криптокошелька.