وبحسب الشركة، بمجرد تنزيل هذا التحديث المزيف على هاتف أندرويد، يبدأ باستخدام Firebase Command & Control ثم يأخذ الرمز المميز الناتج لإرسال أوامر النظام الخاصة به من خلال Cloud Messaging.ويبدأ البرنامج بالتجسس على هاتفك، حالما تقوم بإجراء مكالمة، حيث يقوم بتسجيل المحادثة، وجمع سجل المكالمات قبل إرساله إلى خادم Firebase Command & Control كملف مضغوط مشفر.من الغريب أن برنامج التجسس هذا مهتم بشكل خاص بمحادثات واتساب، فبعد الوصول إلى خدمات إمكانية الوصول الخاصة بالهاتف، ستقوم البرامج الضارة بكشط محتويات الشاشة عندما تكتشف تشغيل واتساب. وإذا كان الوصول إلى الجذر متاحًا، فسوف يسرق ملفات قاعدة بيانات واتساب من وحدة التخزين الخاصة بالتطبيق أيضًا.ووفقاً للباحثين، فإن التطبيق المزيف غير موجود في متجر غوغل بلاي، أي أن تحميله يقتصر على متاجر التطبيقات الخارجية والتحميل الجانبي، وهذا يعني أن مستخدمي أجهزة أندرويد الذين يلتزمون بتنزيل التطبيقات من متجر غوغل بلاي، لن يكونوا عرضة لهذا البرنامج الضار، وفق ما نقل موقع “تومز غايد” الإلكتروني.