Троян использует методы анти-отладки, чтобы избежать обнаружения и запутывая файл конфигурации и часть его модулей. Кроме того, вредоносная программа не даёт системе провести динамический анализ и способен «обмануть» антивирус.
Вирус отслеживает данные в Telegram, Viber, Facebook Messenger, Skype, Line и других мессенджерах. По мнению специалистов, троян автоматически передает информацию на удаленный сервер, которая впоследствии используется для шантажа жертв и получения выкупа, пишет Lenta.ru.
Эксперты также обнаружили вредоносный файл под называнием com.android.boxa в китайском приложении Cloud Module. Вероятно, троян распространяется через не официальные магазины приложений для Android и сомнительные ссылки.