ハッカーは、macOS対応の仮想通貨取引アプリ「Kattana」のウェブサイトをコピーし、それを元に偽造サイトを作成。このサイトでは、実際にマルフェアが仕込まれたアプリをダウンロードするように勧めている。
ESETのプレスサービスでは「偽装サイトにはダウンロードボタンが設置され、トロイの木馬を含む圧縮ファイルがリンクされている」と述べられている。
偽装ウェブサイトではマルフェアを搭載したCointrazer、Cupatrade、Licatrade、Trezarusなどのアプリが紹介され、これらにはトロイの木馬が含まれていた。この4種類のアプリは取引機能も完全にサポートされていたため、ユーザーはそれがマルフェアであることを認識しづらかったという。
これらのアプリがインストールされると、マルフェアはユーザーのシステム、個人データ、位置情報、仮想通貨のウォレットにアクセスし、ブラウザや画面などのスクリーンショットを撮影するという。