件中窃取消息，检查默认浏览器的书签和搜索，检查来自Google Chrome，Mozilla Firefox和Samsung Internet浏览器的书签和搜索历史记录，搜索具有特定扩展名.doc，.docx，.pdf，.xls和.xlsx的文件；

检查剪贴板数据和通知内容，通过前置或后置摄像头定期拍照，查看已安装的应用程序，窃取图像和视频，通过GPS进行监控，窃取电话联系人和SMS消息以及通话记录，并泄露设备信息，例如设备名称和存储数据。此外，恶意软件甚至可以通过从设备菜单中隐藏其图标来隐藏自身。

从非Google第三方应用商店安装后，该恶意软件通过在Firebase命令与控制（C＆C）上运行来工作，这些应用以“更新”和“ refreshAllData”的名称列出。

为了增强其合法性，该应用程序包含功能信息，例如WhatsApp的存在，电池百分比，存储统计信息，Internet连接类型和Firebase消息服务令牌。

一旦用户选择“更新”现有信息，应用程序就会渗透到受影响的设备中。分发后，C＆C会接收所有相关数据，包括新生成的Firebase令牌。

当Firebase通信发出必要的命令时，专用的C＆C服务器使用POST请求来收集被盗的数据。

触发应用程序渗透的值得注意的操作包括添加新联系人，通过Android的contentObserver安装新应用程序或接收新SMS。