Dr.Web gọi loại họ mã độc này là Android.Spy.277 và phát tán thông qua những ứng dụng Android từ trang Google Play Store . Hầu hết những ứng dụng này bắt chước nhiều ứng dụng và những trò chơi phổ thông , và một số khác thậm chí lại không hề có những tính năng như đã quảng cáo .

Android.Spy.277 có trong 104 ứng dụng và được tải về cài đặt hơn 3.2 triệu lượt . Dr.Web nói rằng mã độc này thu thập thông tin như mã IMEI , địa chỉ Gmail , phiên bản hệ điều hành Android , thông tin vị trí , số điện thoại , những chi tiết kỹ thuật của thiết bị , thông tin Google Cloud Messaging , thông tin mạng người dùng , khả năng truy cập Root …

Tất cả những thông tin thu thập được sẽ được gửi tới máy chủ CnC của kẻ tấn công bất kì khi nào khi người dùng khởi động ứng dụng . Hiện tại ứng dụng độc hại yêu cầu những mệnh lệnh để thực hiện những công việc tiếp theo .

Máy chủ CnC có thể hiển thị thông tin quảng cáo , hoặc tạo được Shortcut ở màn hình Home . Những Shortcut này có thể mở những đường Link bên trong trình duyệt  của nạn nhân , Google Play Store hoặc ứng dụng Facebook .

Android.spy.277 cũng có thể cài đặt ứng dụng khác với chứa sự lây nhiễm tương tự để trong trường hợp khi người dùng phát hiện và gỡ bỏ thì lại có ngay một ứng dụng độc hại tương tự khác .

Dr.Web cho biết họ đã gửi thông tin cảnh báo cho Google để gỡ bỏ những ứng dụng độc hại .