Vorrangig seien wohl Geräte aus den USA betroffen, allerdings vermeldet man ebenfalls betroffene Geräte in Russland, der Ukraine, Brasilien und natürlich Deutschland. Die im Screenshot gezeigte App sollte einen neuen Skin in die Android-Version von Minecraft bringen und auch der Rest der verseuchten Apps wurde für so etwas angepriesen, der Entwickler lautete immer wieder FunBaster. Leider passierte im Game dann aber wenig, dafür jedoch viel mehr im Hintergrund des Geräts.
Die App stellt eine Verbindung zu einem Command-and-Control-Server (C&C) auf Port 9001 her, um Befehle zu empfangen. Der C&C-Server fordert die App auf, einen Socket mit SOCKS zu öffnen und auf eine Verbindung von einer angegebenen IP-Adresse auf einem bestimmten Port zu warten. Eine Verbindung kommt von der angegebenen IP-Adresse auf dem angegebenen Port und es wird ein Befehl zum Verbinden mit einem Zielserver ausgegeben. Die App stellt eine Verbindung zum angeforderten Zielserver her und erhält eine Liste der Anzeigen und die dazugehörigen Metadaten (Anzeigentyp, Name der Bildschirmgröße). Mit dem gleichen SOCKS-Proxy-Mechanismus wird der App befohlen, sich mit einem Anzeigenserver zu verbinden und Anzeigenanforderungen zu starten.