Flashfake składa się z kilku modułów, które dodają do atakowanej przeglądarki internetowej szkodliwy kod i przyłączają zainfekowane Maki do serwerów kontrolowanych przez cyberprzestępców. W ten sposób powstaje botnet – sieć zainfekowanych komputerów. Gdy ofiara przegląda strony internetowe przy użyciu wyszukiwarki Google, serwery kontroli Flashfake’a zastępują reklamy i odsyłacze na stronach internetowych ich sfałszowanymi odpowiednikami. Skłaniając użytkowników zainfekowanych komputerów do klikania oszukańczych odsyłaczy lub reklam, cyberprzestępcy zarabiają pieniądze i mogą doprowadzić do infekcji kolejnymi szkodliwymi programami.
W marcu 2012 r. grupa odpowiedzialna za Flashfake’a wprowadziła wiele nowych funkcji do swojego szkodliwego programu. Obejmują one nową metodę wyszukiwania dla serwerów kontroli przy użyciu Twittera oraz dodatek do przeglądarki Firefox zamaskowany pod postacią dodatku do odtwarzacza Adobe Flash Player. Szkodliwa wtyczka pozwala cyberprzestępcom kontrolować zainfekowane komputery oraz jeszcze skuteczniej podmieniać reklamy i odsyłacze na stronach wyszukiwanych przez użytkowników.
Szkodliwy moduł Flashfake’a ukrywający się pod postacią dodatku Adobe Flash Player dla przeglądarki Firefox. - komentuje Costin Raiu, dyrektor globalnego zespołu ds. badań i analizy (GReAT), Kaspersky Lab. ..
Mimo że przed końcem kwietnia Flashfake zainfekował ponad 748 000 komputerów z systemem Mac OS X, rozmiar botnetu znacznie zmniejszył się. W maju liczba aktywnych botów została oszacowana na 112 528.
