Sự độc đáo của mã độc này là sự lây nhiễm , nó nhìn trông như là Qihoo 360 , là ứng dụng bảo mật được dùng rất nhiều ở Trung Quốc .

Nó tìm kiếm và đăng kí trên thiết bị tương tự như UID (unique identifier) được dùng trong ứng dụng Qihoo 360 , và sau đó tải DroidWall , là phiên bản của đóng gói iptable UNIS , thay đổi để chạy trên những thiết bị Android .

iptable , là tiện ích rất nổi tiếng cho những htLinux , và DroidWall được phát triển bởi nhà nghiên cứu an ninh độc lập Rodrigo Rosauro , về sau đã bán nó cho AVAST vào năm 2011 . Từ khi đó cho tới nay ứng dụng này được dùng như là một mã nguồn mở nên tin tặc có thể tìm thấy trên Google Code hoặc GitHub .

Trong trường hợp Adroid.Spywaller thì DroidWall có thể được dùng để chặn những ứng dụng bảo vệ truyền thông tới những máy chủ phân tích những mối đe dọa dựa trên đám mây khiến cho những ứng dụng bảo vệ trở nên vô dụng để mã độc có thể thoải mái truy cập tới thiết bị của nạn nhân .

Symantec cho biết mã độc này không lây nhiễm nhiều ở Trung Quốc . Để lây nhiễm nó giả làm một ứng dụng của Google có tên gọi “Google Service” và phát tán qua những kho lưu trữ ứng dụng Android không chính thức và lừa người dùng cấp cho nó quyền Admin . Android.Spywaller chạy ngầm để đánh cắp thông tin từ thiết bị sau đó tải tới máy chủ của kẻ tấn công . Nó còn thu thập những dữ liệu từ những ứng dụng khác như BlackBerry Messenger, Oovoo, Coco, QQ, SinaWeibo, Skype, Talkbox, TencentWeibo, Voxer, Wechat, WhatsApp, và Zello.