Những nhà nghiên cứu đã phân tích mã độc cho thấy nó có hai module , một là để phát tán ((XXshenqi.apk) và một cho những hoạt động độc hại (Trogoogle.apk).
Kaspersky cho biết việc lan truyền thông qua một tin nhắn ngắn , mang theo đường Link để tải thành phần độc hại , tới tất cả những người có trong danh sách Contact . Ngay khi xâm nhập vào thiết bị , Kaspersky phát hiện ra với tên gọi Trojan.AndroidOS.Xshqi.a , nó tạo ra một “cửa sau” thu thập thông tin cá nhân của nạn nhân và gửi tới máy chủ CnC .
“Cửa sau” này , bị Kaspersky phát hiện với tên gọi Backdoor.AndroidOS.Trogle.a , đã lặng lẽ ẩn náu trong thiết bị mobile thành Icon sau khi cài đặt khiến cho nhiều người có thể không nhận thấy sự hiện diện của nó .
Trong số những lệnh mà mã độc thực hiện có việc đọc và gửi tin nhắn .