Được phát hiện bởi các chuyên gia từ công ty an ninh mạng Trustlook , mã độc này sẽ sửa đổi tập tin "/system/etc/install-recovery.sh" bên trong các ứng dụng, sau đó ngay lập tức trích xuất dữ liệu, kể cả khi thiết bị đã được khởi động lại.
Sau khi lây nhiễm ứng dụng đầu tiên là Cloud Module dưới tên gọi com.android.boxa, malware này hiện lây lan khắp Trung Quốc. Trustlook cảnh báo mã độc này rất khó để phát hiện, nên có thể qua mặt các lớp bảo mật của Android dễ dàng.
Danh sách các ứng dụng có thể bị ảnh hưởng bởi phần mềm độc hại này bao gồm Facebook Messenger, Twitter, Skype, Telegram, Tencent WeChat, Viber, Weibo, Voxer Walkie Talkie Messenger, Gruveo Magic Call, Line, Coco, BeeTalk, TalkBox Voice Messenger và Momo.
Các cảnh báo cũng lưu ý người dùng Android chỉ nên cài đặt ứng dụng từ Google Play. Tuy nhiên, không loại trừ khả năng thiết bị có thể bị nhiễm mã độc sau khi tải nội dung từ email hoặc các trang web của bên thứ ba.
Dữ liệu sau khi bị thu thập trái phép sẽ trích xuất để gửi đến máy chủ từ xa. Trustlook cho hay nhiều khả năng malware ăn cắp thông tin này được sử dụng để tống tiền.