Сообщение выглядит так: «Зацените новое приложение от группы кодеров-активистов Code4HK для координации Occupy Central!» На Android для заражения устройство достаточно кликнуть по ссылке. На iOS-устройство вирус ставится через популярный репозиторий Cydia (то есть, заражению подвержены джейлбрейкнутые устройства).
Троян запускается при загрузке устройства и немедленно открывает злоумышленникам доступ к адресной книге, SMS, журналу звонков, географической информации, фото, системной информации, архиву популярного китайского мессенджера Tencent A и всем паролям и аккаунтам — то есть решительно ко всему, к чему может проявить интерес типичная спецслужба.
Кросс-платформенные вредоносные программы, атакующие одновременно и Android-, и iOS-устройства, чрезвычайно редки. По мнению специалистов Lacoon, это указывает на то, что за Xsser mRAT «стоит очень крупная организация или государство». Вирус распространяется исключительно среди китайскогоговорящих активистов — так что Lacoon называет его «первым трояном, связанным с кибер-активностью китайского правительства».
Далее Xsser mRAT характеризуют как «первый по-настоящему продвинутый троян, обнаруженный на сегодня» и сообщают, что он может легко пересекать границы — и использоваться «китайскогоговорящими лицами» для шпионажа за частными лицами, компаниями или целыми правительствами. Жертвами тут могут стать прежде всего Android-пользователи — хотя и за пределами Гонконга джейлбрекнутых iOS-устройств хватает.