Aby móc uruchomić się automatycznie razem z systemem operacyjnym, trojan rejestruje na zainfekowanym urządzeniu proces systemowy o nazwie CheckCommandServices, który od następnego uruchomienia smartfona będzie działał jako usługa w tle.
Po pomyślnym uruchomieniu się powyższego procesu, Android.Pincer.2.origin łączy się ze zdalnym serwerem i może przesłać do niego takie dane, jak: numer i model telefonu; numer seryjny i IMEI urządzenia; nazwę operatora, język używany domyślnie w systemie; wersję systemu operacyjnego i informację o tym, czy dany telefon ma odblokowane konto root’a (konto mające wszystkie uprawnienia w systemie operacyjnym telefonu).
Następnie szkodliwe oprogramowanie czeka na instrukcje od cyberprzestępców. Mogą one dotyczyć zarówno przechwytywania SMS-ów użytkownika, jak również wyświetlania komunikatów na ekranie jego urządzenia. Szczególnym poleceniem dla atakujących jest tu komenda umożliwiająca wskazanie trojanowi numeru telefonu nadawcy, którego wiadomości mają być przechwytywane. Funkcja ta umożliwia wykorzystanie złośliwego oprogramowania jako narzędzia do przeprowadzania ukierunkowanych ataków i kradzieży konkretnych wiadomości SMS, w tym wiadomości z systemów bankowości elektronicznej, zawierających kody mTAN zatwierdzające transakcje bankowe lub inne poufne dane.