Il bootkit infetta la partizione di boot del file system e modifica lo script init responsabile dell’inizializzazione dei componenti del sistema operativo. Quindi quando l’utente avvia il proprio dispositivo lo script carica il trojan imei_chk in memoria copiando alcuni file nelle cartelle di sistema lib ed app.
Il malware è particolarmente pericoloso, in quanto risiede nell’area di memoria protetta e reinstallerà il trojan al successivo riavvio, anche se alcuni elementi di Android.Oldboot sono stati rimossi. L’infezione non si diffonde tramite Internet, aprendo un allegato o installando un’applicazione, ma viene distribuita manualmente. È probabile che il malware sia presente in alcuni firmware modificati.