NGE Mobi/Xinyinhe đã dùng những ứng dụng thông dụng sau đó đóng gói lại có kèm theo mã độc Adware và phát tán qua những kho lưu trữ ứng dụng Android không chính thức .

Khi nạn nhân cài đặt những ứng dụng này trên điện thoại , Adware sẽ kích hoạt , thu thập thông tin thiết bị , gửi tới máy chủ CnC sau đó chờ lệnh mới . Khi máy chủ trả lời , ứng dụng này sẽ cài đặt “cửa sau” và một loạt những thủ thuật để nó có thể tồn tại khi hệ thống  khởi động lại .

Adware này quảng cáo tất cả những dịch vụ của NGE Mobi/Xinyinhe và thường xuyên hiển thị trên màn hình khiến cho người dùng rất khó chịu . Hiện tại Adware trên có mặt trong mọi phiên bản Android từ 2.3.4 cho tới 5.1.1 tại những quốc gia như Nga , Trung Quốc , Brazil , Argentina , Ai Cập , Tây Ban Nha , Pháp , Đức , Thụy Điển , Đan Mạch , Ả rập , Indonesia , Ấn Độ , Anh và Mỹ .

FireEye cho biết người tạo ra Adware này đã vô cùng cẩu thả khi chèn vào đó là mã độc . Bởi vì máy chủ CnC truyền thông thông quan HTTP và một kẻ tấn công khác có thể dễ dàng can thiệp vào đường truyền này để thực hiện những hành động nguy hiểm hơn .