Po uruchomieniu, Trojan próbuje nakłonić użytkownika do udzielenia mu dostępu do funkcji administracyjnych urządzenia mobilnego, które są rzekomo potrzebne, aby prawidłowo zakończyć instalację aplikacji. Jeśli proces ten się powiedzie, program natychmiast rozpoczyna formatowanie karty SD i usuwa wszystkie przechowywane na niej dane.
Następnie Trojan czeka już tylko na uruchomienie wspomnianych popularnych aplikacji. Za każdym razem, gdy tylko użytkownik próbuje uruchomić wersje mobilne programów takich jak Facebook, WhatsApp, czy Hangouts lub nawet standardowe aplikacje do obsługi SMS-ów, Android.Elite.1.origin blokuje ich aktywne okna poprzez wyświetlenie wiadomości “Podporządkuj się albo zostań zhakowany” (ang. “OBEY or Be HACKED”). Wirus nie blokuje ani nie zakłóca przy tym działania żadnych innych aplikacji ani też systemu operacyjnego.
Aby utrudnić korzystanie z narzędzi służących do komunikacji, Trojan ukrywa wszystkie powiadomienia o przychodzących wiadomościach SMS. Otrzymywane wiadomości są zapisywane w folderze Skrzynka odbiorcza, jednak nie można ich odczytać, ponieważ dostęp do komunikatora jest zablokowany.
Oprócz usuwania danych z kart SD i blokowania komunikatorów, Android.Elite.1.origin wysyła także co pięć sekund krótkie wiadomości do wszystkich kontaktów znajdujących się w książce adresowej. Tekst wiadomości brzmi:
“HEJ!!! [nazwa kontaktu] Elite atakuje. Podporządkuj się albo zostań zhakowany.”
Podobne wiadomości są wysyłane jako odpowiedź na wszystkie przychodzące wiadomości SMS z telefonów komórkowych:
“Elite atakuje. Podporządkuj się albo zostań zhakowany.”
“Przestrzegamy użytkowników przed pobieraniem aplikacji z podejrzanych źródeł. Odradzamy również przyznawanie uprawnień administratora takim aplikacjom, ponieważ niesie to za sobą ryzyko utraty bądź uszkodzenia danych” – informuje Joanna Schulz-Torój, specjalista z firmy Doctor Web.