После заражения устройства вредоносная программа начинает рассылку SMS на все номера из телефонной книги пользователя, одновременно копируя эти номера.
На изображении ниже продемонстрирован пример одной из инфицированных Android.Nimefas.1.origin программ:
Запустившись на инфицированном мобильном устройстве, троянец, в первую очередь, проверяет, активна ли хотя бы одна из служб, принадлежащих ряду китайских антивирусных приложений.
В случае если хотя бы одна из них обнаруживается, Android.Nimefas.1.origin определяет наличие root-доступа путем поиска файлов "/system/xbin/su" или "/system/bin/su". Если такие файлы присутствуют, троянец прекращает работу. Если же ни одно из приведенных условий не выполняется, вредоносная программа продолжает функционировать.
В частности, Android.Nimefas.1.origin выполняет отправку идентификатора IMSI на один номеров, выбираемый случайным образом на основании имеющегося списка.
Далее троянец производит СМС-рассылку по всем контактам, содержащимся в телефонной книге инфицированного мобильного устройства. Текст для этих сообщений загружается с удаленного сервера. Информация об использованных для рассылки контактах затем передается на этот же сервер. Вредоносная программа способна отправлять и произвольные СМС-сообщения на различные номера. Необходимая для этого информация (текст сообщений и номера телефонов) берется с управляющего узла.
Троянец способен также скрывать от пользователя входящие сообщения. Соответствующий фильтр по номеру или тексту принимаемых СМС загружается с управляющего центра злоумышленников.
В настоящее время удаленный сервер, используемый киберпреступниками для управления вредоносной программой, уже не функционирует.