Sau khi thiết bị nhiễm độc, nó sẽ tự động kết nối Internet và mở cổng 5555.
Thông thường, cổng này luôn ở trạng thái đóng và chỉ mở nếu các nhà phát triển cần thử nghiệm từ xa thông qua công cụ gỡ rối Android Debug Bridge.
Tiếp đó, các thiết bị lây nhiễm sẽ kết nối với với ứng dụng đào tiền ảo Monero và khai thác đồng tiền này trong âm thầm. Đại diện Netlab mô tả, ADB.Miner có nhiều đặc điểm khá tương đồng so với Mirai - botnet từng gây hại nhiều hệ thống quy mô lớn trên toàn thế giới năm ngoái.
Tuy nhiên, nhóm bảo mật không tiết lộ thiết bị bị nhiễm mã độc bị ảnh hưởng như thế nào và cách thức nào để lây nhiễm. Một chuyên gia dự đoán, rất có thể botnet xâm nhập qua bộ định tuyến hoặc thiết bị IoT bằng tài khoản và mật khẩu mặc định.
Đây không phải là lần đầu tiên các thiết bị thông minh bị lợi dụng để đào tiền ảo.
Tuần trước, các nhà nghiên cứu cũng đã phát hiện botnet Smominru hoạt động từ tháng 5/2017, lây nhiễm hơn 526.000 máy chủ Windows và khai thác được 2,45 triệu USD tiền Monero.
Tháng 1/2018, một botnet khác có tên Satori.Coin.Robber cũng nhắm vào các máy "cày" tiền ảo và đánh cắp tiền bằng cách thay đổi thông tin ví.
Hiện tại, giá trị của đồng Monero khá thấp so với các loại tiền ảo khác như Bitcoin hay Ethereum, với 3 USD/đồng.