ตัวอย่างสปายแวร์ที่พบจะปลอมเป็นแอปพลิเคชันวิดีโอไลฟ์สด (Live Video), แอปพลิเคชันสำหรับผู้ใหญ่, แอปพลิเคชันคืนเงิน และแอปพลิเคชันออกแบบ และตกแต่งภายใน โดยมีการใช้ไอคอนดังนี้

มีการระบุ URL ที่เป็นอันตรายสองรายการที่ทำการแพร่กระจายสปายแวร์

hxxps://refundkorea[.]cyou/REFUND%20KOREA.apk
hxxps://bobocam365[.]icu/downloads/pnx01.apk

ตั้งแต่มัลแวร์ถูกพบ มัลแวร์นี้ยังคงไม่ถูกตรวจพบโดยโซลูชันด้านความปลอดภัยทั้งหมด ทำให้สามารถดำเนินการได้อย่างลับ ๆ นอกจากนี้ CRIL ได้แจ้งว่ามีตัวอย่างที่ไม่ซ้ำกันสี่รายการที่เชื่อมโยงกับสปายแวร์นี้ ซึ่งทั้งหมดมีอัตราการถูกตรวจจับเป็นศูนย์จากโซลูชันแอนตี้ไวรัสหลัก ๆ

ตัวอย่างสปายแวร์ทั้งหมดที่ถูกระบุไว้ ถูกพบว่ามีการเชื่อมต่อกับ C2 Server เดียวกัน ซึ่งโฮสต์อยู่บน Amazon S3 bucket : hxxps://phone-books[.]s3.ap-northeast-2.amazonaws.