Для работы троян использует Android JobScheduler и права администратора, что позволяет ему сохраняться даже после перезагрузки. Вредонос распространяется через поддельные приложения, включая фальшивые сканеры цифровых документов и имитацию Google News, которая при этом открывает настоящий сайт news.google.com для маскировки своей активности.
После установки троян переходит в режим молчания и отключает звуковые уведомления на устройстве, чтобы пользователь не заметил оповещений о транзакциях. Одновременно программа проверяет, не запущена ли она в эмуляторе, что помогает избежать анализа со стороны специалистов по безопасности.
После этого вирус управляет интерфейсом, используя системные сервисы Android. Это дает ему право читать содержимое экрана, управлять интерфейсом и имитировать касания. Троян собирает метаданные интерфейсов банковских приложений, чтобы автоматически выполнять переводы без ведома владельца устройства. Действуя как администратор, троян перезапускается после каждой перезагрузки, что затрудняет его удаление.
Троян работает только на Android 13 и ниже (Android 14 блокирует авто-запросы Accessibility Services).