Infekcję inicjuje zwykle sam użytkownik, pobierając z sieci nielegalną kopię gry. Zbyt szybka akceptacja warunków, na jakich dana aplikacja jest udostępniana naraża użytkownika na nieoczekiwane koszty. W treści umowy licencyjnej przeczytać można bowiem, że za uzyskanie dostępu do danej zawartości zostanie pobrana opłata, uiszczona za pośrednictwem wiadomości SMS o podwyższonej opłacie. W umowie jest również fragment informujący o tym, że twórca aplikacji nie bierze żadnej odpowiedzialności za szkody wyrządzone przez program, w tym za straty finansowe użytkownika.
Po zagnieżdżeniu się w pamięci telefonu Trojan Boxer.AA identyfikuje kody MCC (Mobile Country Code) oraz MNC (Mobile Network Code), dzięki którym wie, w jakim kraju i z jakiej sieci korzysta jego ofiara. Następnie Boxer.AA koreluje wspomniane kody z numerem telefonicznym, na który przesyła wiadomość SMS premium — tłumaczy zasadę działania zagrożenia Kamil Sadkowski, analityk zagrożeń z firmy ESET . Trojan zaciera wszelkie ślady swojej aktywności, ukrywając przed użytkownikiem m.in. wiadomości potwierdzające aktywację usługi dla danego numeru premium. Boxer.AA próbuje również wykorzystać połączenie z Internetem, aby dotrzeć do jednego z dwóch adresów WWW, dzięki którym trojan może zapisać swoją ofiarę do kolejnej usługi premium — dodaje Sadkowski.