В числе содержащих троян приложений встречаются "живые обои", сборники изображений, утилиты, программы для обработки фотографий, прослушивания интернет-радио и пр. Исследователи выявили как минимум семь разработчиков, встроивших вредоносное ПО в свои программы, в том числе MaxMitek Inc, Fatty Studio, Gig Mobile, TrueApp Lab, Sigourney Studio, Doril Radio.FM, Finch Peach Mobile Apps и Mothrr Mobile Apps.
При запуске приложения троян связывается с C&C-сервером и получает команду на загрузку дополнительного модуля, содержащего основной вредоносный функционал. Далее троян отправляет на сервер злоумышленников различные данные, включая адрес электронной почты, привязанный к учетной записи Google, перечень установленных приложений, информацию о номере, модели и производителе устройства, версии ОС, разрешении дисплея, названии оператора и пр.
Затем вредонос приступает к показу навязчивой рекламы, которая выводится поверх работающих приложений. Троян может размещать сообщения в панели уведомлений с предложениями о загрузке того или иного ПО или с предупреждениями о том, что на системе обнаружены вредоносные программы.
Исследователи уже проинформировали компанию Google, однако некоторые из программ все еще остаются доступными для загрузки.