Ponieważ przestępcy chcą, aby ich trojan pozostał niezauważony, wykorzystują mechanizm aktywacji "pirackich" opcji przez specjalnie przygotowaną kartę. Po jej włożeniu, oprogramowanie wyświetla menu, w którym można wyczyścić logi systemowe oraz keyloggera, deinstalować trojana, wyświetlić statystyki, przetestować drukarkę, wydrukować przechwycone dane, wypłacić pieniądze z kasetki bankomatu po dodatkowej autoryzacji, a także restartować system bankomatu. W programie wbudowano również nieznane jeszcze procedury, które umożliwiają zapis danych na kartę magnetyczną.

Nawet karta z mikroprocesorem nie jest w pełni bezpieczna, gdyż taka karta również zawiera pasek magnetyczny i za jej pomocą można dokonać transakcji po wykonaniu duplikatu paska i wprowadzeniu skradzionego kodu PIN. Należy jednak dokonać tego nadużycia w bankomacie, który jeszcze nie posiada czytnika mikroprocesorowego, przeznaczonego do obsługi kart chipowych. Badane przez firmę Trustwave pliki pochodzą prawdopodobnie ze stosunkowo wczesnej wersji złośliwego oprogramowania, najprawdopodobniej w użyciu jest już nowsza wersja, wyposażona w większą ilość opcji.

Współpraca z przestępcami

Użycie nieudokumentowanych funkcji (Diebold Agilis 91x) obsługi czytnika kart świadczy o tym, że trojan ten został napisany przez specjalistów, którzy posiedli informacje nieudostępniane publicznie. Ponadto zarażenie bankomatu nie byłoby możliwe bez dostępu do urządzenia lub jego sieci. "Złośliwe oprogramowanie, które do tej pory poznaliśmy w związku z naruszeniem bezpieczeństwa bankomatów, nie zawiera opcji samodzielnej replikacji, więc musiało zostać zainstalowane w tych urządzeniach podczas ich obsługi. Wystarczyło zapłacić odpowiednią łapówkę technikowi serwisu, który utrzymuje sprzęt oraz dokonuje aktualizacji jego oprogramowania, aby zainstalował malware w bankomacie" - mówi Raimund Genes.