Förutom Google Play har apparna också distribuerats via andra appbutiker som till exempel Amazon Appstore och Samsung Galaxy Store. En av de 19 apparna, Lite Launcher, hade mer än 10 000 nerladdningar. Efter att Lookout informerat Google togs apparna snabbt bort från Google Play.

Den skadliga programvaran Abstractemu fungerar genom rooting, vilket innebär att den använder den så kallade rootingprocessen som låser upp och ger maximal behörighet att göra ändringar på mobilen. Genom att använda rooting får den skadliga programvaran tillgång till Andoids operativsystem på mobilen. Cyberbrottslingarna kan därmed göra nästan vad som helst på mobilen, som att komma åt användarens information. 

Rooting är en metod som blivit ovanlig de senaste fem åren. Detta beror enligt Lookout på att Androidvärlden har mognat och numera har färre sårbarheter som kan utnyttjas för intrång. Åtminstone gäller det de sårbarheter som öppnar för angrepp på en stor mängd mobiler och andra enheter. 

Lookout uppger att de inte vet vilka som ligger bakom Abstractemu men de är säkra på att det är en aktör med goda resurser och som motiveras av att tjäna pengar. De appar som användes vid attackerna var inte riktade mot någon särskild målgrupp, vilket stärker denna bild. Appen har drabbat användare i minst 17 olika länder.