Setelah itu, APK berbahaya tersebut akan mengekstrak dan menginstal muatan malware utama, yaitu 'Telegram Premium.apk', yang meminta izin akses untuk memantau notifikasi, data clipboard, SMS, dan layanan telepon. Setelah dijalankan, layar WebView tipuan yang menampilkan halaman login Telegram, yang bertujuan untuk mencuri kredensial pengguna untuk layanan perpesanan tersebut.
Selain itu, FireScam juga menjalin komunikasi dengan Firebase Realtime Database untuk mengunggah data yang telah dicuri secara real-time, serta mendaftarkan perangkat yang disusupi dengan pengidentifikasi unik, untuk tujuan pelacakan. Data yang dicuri hanya disimpan dalam database sementara dan kemudian dihapus, kemungkinan setelah para pelaku ancaman memfilternya untuk mendapatkan informasi berharga dan menyalinnya ke lokasi lain.
Selanjutnya, FireScam membuka koneksi WebSocket yang persisten dengan titik akhir Firebase C2 untuk eksekusi perintah secara real-time seperti meminta data tertentu, memicu upload langsung ke database Firebase, mendownload dan mengeksekusi payload tambahan, atau menyesuaikan parameter pengawasan. Selain itu, FireScam juga dapat memantau perubahan aktivitas layar, menangkap peristiwa hidup/mati, mencatat aplikasi aktif pada saat itu serta data aktivitas untuk peristiwa yang berlangsung lebih dari 1.000 milidetik.
