Androidí trojský kůň používá velmi flexibilní techniky sociálního inženýrství ke kradení bankovních přihlašovacích údajů. Android.Fakelogin se netváří jako samostatná specifická aplikace, ale identifikuje bankovní aplikaci spuštěnou v zařízení a přes její uživatelské rozhraní zobrazí přizpůsobenou podvodnou přihlašovací stránku.
Využívá k tomu logiku založenou na cloudových službách hostovaných na vzdáleném C&C (command-and-control) serveru, díky které přesně určí, jakou podvodnou stránku má zobrazit. Přestože malware cílí na legitimní aplikace dostupné na Google Play, samotná aplikace, která stáhne Fakelogin, není na Google Play k dispozici.