محققان در میکرو ترند نشان دادند که اولین قسمت شناخته شده ی بدافزار برای سو استفاده از آسیب پذیری های تازه پچ شده روی ویژگی توست در اندروید اثر میگذارد.

طبق گفته ی محققان در شبکه های پالو آلتو، بدافزار های مخرب را قادر میسازد تا حملاتی را با سوء استفاده از ویژگی Toast اندریود راه اندازی کند، که این اتفاق به اپلیکیشن ها اجازه میدهد تا پیام ها و نوتیفیکیشن ها را بالای اپ ها نمایش دهند. این ویژگی Toast نامیده میشود چون نوتیفیکیشن ها درست مثل Toast روی صفحه ی نمایش ظاهر میشوند. حملات Overlay  معمولا توسط بدافزار اندروید برای حملات فیشینگ استفاده می شود استفاده از Toast  شامل  مزایایی ازجمله این که نیاز به نوع اجازه ی مشابه مثل ویندوز ها را ندارد و به یک اپ اجازه میدهد تا یک ویندوز که صفحه ی نمایش داخلی دستگاه را میپوشاند را اجرا کند. آسیب پذیری ردیابی شده با عنوان CVE-2017-0752 و دسته بندی شده در گروه ریسک بالا، توسط گوگل در سپتامبر با آپدیت های امنیتی اندروید ماهانه پچ شده است. حملات Toast برروی دستگاههایی که از اندروید 8.0 Oreo استفاده میکنند، اثر نمیکند.

محققان ترند میکرو دریافتند که اولین قطعه ی نفوذ بدافزار با سوءاستفاده از در برنامه هایی به عنوان Smart AppLocker وجود دارد که در Google Play در دسترس بود، جایی که صدها هزار بار دانلود شده بود. برنامه ها تاکنون از گوگل پلی حذف شده اند.

اپ های مخرب ادعای امنیت و محافظت از دستگاه را با یک پین کد دارند. به محض نصب انها از کاربر درخواست اجازه ی دسترسی دارند و کاربر را آگاه میکنند که آنها(اپ ها) احتیاج به اسکن گوشی برای اپ های حفاظت نشده را دارند. سوءاستفاده از Toast  در حالت نمایش یک صفحه ی پیشرفت برای "اسکن" انجام میشود، اما در پس زمینه بدافزار دستوراتی را از مهاجمان اجرا میکند و قسمت دوم بدافزار را که از طرف ترند میکرو AMIGOCLICKER نامیده شده است، نصب میکند. علاوه بر دانلو سایر بدافزارها، TOASTAMIGO میتواند منجر به این شود که اپ های امنیتی موبایل محدود شوند و کارهایی دیگری انجام دهد که خود را از حذف شدن محافظت کند. AMIGOCLICKER قابلیت خود مراقبتی دارد، اما میتواند اکانت های گوگل را جمع آوری کند، بر روی دکمه ها در پنجره های سیستم کلیک کند، روی تبلیغات فیس بوک کلیک کند و در گوگل پلی به خود امتیاز پنج ستاره بدهد. 

محققان ترند میکرو در یک پست وبلاگی گفته اند: " مجموعه ای از عملکرد های مخرب بدافزار، در ترکیب با یک بردار حمله ی نسبتا منحصر به فرد، آنها را به تهدید های معتبری تبدیل میکند. در واقع عملکردهایی که در فوق ذکر شده است برای حملات سایبری بیشتری قابل اصلاح است." " چون TOASTAMIGO و AMIGOCLICKER میتوانند از ویژگی دسترسی اندروید طوری سوءاستفاده کنند که عملا قادر به انجام هرکاری باشد، این بدافزار هنگام دریافت دستور از راه دور سرور،میتواند خودش را آپدیت کند.