Nó dùng nhiều cách khác nhau để tự cài vào Root trên những thiết bị bị lây nhiễm .

Theo các nhà nghiên cứu , xu hướng này là mới và dấu hiệu đầu tiên khi Cheetah Mobile phát hiện ra GhostPush trong giữa tháng Chín , tiếp theo FireEye phát hiện ra Kemoge . Và mới đây Lookout đã phát hiện ra biến thể thứ ba của kiểu Adware này có tên là Shuanet .

Sau khi phân tích của ba họ Adware trên , những nhà nghiên cứu đã phát hiện ra Shuanet có 71% và 82% mã tương tự như GhostPush và Kemoge . Bên cạnh việc chia xẻ những kỹ thuật của mã thì ba kiểu Adware này dùng ba cách khai thác chung để Root vào thiết bị Android bao gồm : Memexploit, Framaroot, và ExynosAbuse.

Mặc dù có nhiều đoạn mã giống nhau nhưng Lookout tin rằng cả ba họ Adware đó không  phải do một nhóm tạo ra .

Shuanet làm việc tương tự như hai Adware trên , tin tặc cũng tải những ứng dụng thông dụng từ Google Play Store , sau đó đóng gói lại kèm theo Shuanet . Tiếp theo tải những ứng dụng đã đóng gói lại có chứa Shuanet tới những kho lưu trữ các ứng dụng Android khác .

Khi người dùng cài đặt những ứng dụng có chứa Shuanet mà , họ nghĩ rằng an toàn , thì Shuanet sẽ Root vào thiết bị sau đó cung cấp những quảng cáo , hoặc cài những ứng dụng đọc hại …

Lookout cho biết họ đã phát hiện 20.000 ứng dụng Android đã đóng gói lại được cung cấp từ những kho lưu trữ ứng dụng Android có chứa Shuanet hoặc GhostPlush hoặc Kemoge .

Hầu hết những vụ lây nhiễm vào những người dùng ở Mỹ , Đức , Iran , Nga , Ấn Độ , Jamaica , Sudan , Brazil , Mexico và Indonesia .