В ходе установки вредоносная программа запрашивает у пользователя расширенные права в системе. Когда установка завершена, троян выводит на главный экран виджет с прогнозом погоды, «позаимствованный» у легального приложения. Параллельно с этим информация об устройстве передается в фоновом режиме на командный сервер. Троян распознает популярные банковские приложения, собирает логины и пароли при помощи фальшивых форм ввода и направляет эти данные своим операторам. Функция перехвата текстовых сообщений позволяет обойти двухфакторную аутентификацию на базе SMS. Кроме того, программа может блокировать и разблокировать экран устройства по команде злоумышленников, меняя пароль, — предположительно, эта функция используется в момент списания средств со счёта, чтобы скрыть кражу от жертвы.
Первая версия трояна была найдена 4 февраля и продержалась в магазине лишь два дня. В середине февраля заражённое приложение сменило название и вернулось в Google Play, где находилось в течение недели. После обращения ESET хостинговая компания обезвредила сервис хакеров.
