Attacken använder en sedan tidigare känd säkerhetslucka i Android. Luckan finns i AccessibilityService, en del av Androidsystemet som ska hjälpa personer med funktionshinder.
Trojanen är kapabel att fjärrstyra Androidenheten. Den samlar ihop en mängd olika sorters information som finns i enheten, som till exempel inloggningsuppgifter och kontaktinformation. Den kan även spela in samtal, ta skärmbilder och fotografera med kameran.
Det är än så länge oklart exakt hur trojanen har spridits, annat än att det finns tecken på att kinesiska användare smittats när de använt osäkra wifi-nätverk. Enligt Palo Alto Networks fortsätter trojanen utvecklas, den äldsta versionen är redan två år gammal och den senaste versionen skapades så sent som i maj i år.
Google känner till hotet och användare ska nu vara skyddade från att av misstag ladda ner trojanen när de hämtar Google Play-appar.