Trend Micro menemukan “perpustakaan sistem bernama libandroid_runtime.so yang dirusak untuk menyuntikkan kode cuplikan ke dalam fungsi yang disebut println_native.
File inilah yang akan dipanggil saat mencetak log. Setelah itu, kode yang disuntikkan ini akan mendekripsi file DEX dari bagian data dan memuatnya ke dalam memori.
File DEX ini memiliki domain Lemon Group, serta plugin utama bernama ‘Sloth’. File DEX memiliki konfigurasi yang ditulis dengan nama saluran ‘BSL001’, yang mungkin merupakan singkatan dari domain tersebut.
Malware juga dapat menyusup ke akun media sosial pengguna, termasuk WhatsApp, serta membahayakan Plugin Splash dengan iklan yang mengganggu. Itu bahkan dapat menginstal, membiarkannya berjalan diam-diam di latar belakang, dan menghapus instalan aplikasi.