មេរោគ Android spyware ត្រូវបានរកឃើញថាក្លែងបន្លំជាសេវាកម្ម “Process Manager” ដើម្បីលួចទិន្នន័យសម្ងាត់ដេលរក្សាទុកនៅលើឧបករណ៍ដែលរងគ្រោះ។ កម្មវិធីនេះមានកញ្ចប់ឈ្មោះហៅថា “com.remote.app” ហើយវាក៏ភ្ជាប់ទៅកាន់ remote command-and-control server, 82.146.35[.]240 ។ ក្រុមហេគឃ័រនេះមានឈ្មោះហៅថា Turla ដែលមានទំនាក់ទំនងជាមួយនឹងរុស្សី។
ក្រុមអ្នកស្រាវជ្រាវ Lab52 និយាយថា “នៅពេលដែលកម្មវិធីនេះដំណើរការនោះ មេរោគ malware ក៏ដំណើរការជា background ហើយវាក៏អាចចូលទៅកាន់ contacts, call logs, locations, storage, snap pictures និង record audio របស់ឧបករណ៍ដែលរងគ្រោះបាន។”
ព័ត៌មានដែលប្រមូលបានគឺចាប់យកជាទម្រង់ JSON format ហើយវាបញ្ជូនទៅកាន់ C2 server ។ កម្មវិធី Android app ក្លែងបន្លំនេះក៏ដោនឡូតនូវកម្មវិធី Roz Dhan ដែលមានអ្នកតម្លើងជាង ១០ លានដង ហើយអនុញ្ញាតអោយអ្នកប្រើប្រាស់អាចរកបាននូវរង្វាន់ជាសាច់ប្រាក់ (cash rewards) នៅពេលដែលបញ្ចប់ការបំពេញនូវការស្ទង់មតិ និងកម្រងសំណួរ៕