Theo mô tả, Cosiloon nằm trong phân vùng /system, chứa một chương trình độc hại được thiết kế để tự động cài mã độc chỉ định gọi là dropper.
Một đoạn mã khác chạy trên máy nạn nhân, dùng để thực hiện một số hoạt động nào đó hoặc tự động kết nối về máy của kẻ tấn công gọi là payload. Các nhà bảo mật đã phát hiện có hai dropper "CrashService" và "ImeMess", kết nối đến một website bên ngoài nhằm tải payload mà hacker muốn cài trên điện thoại.
"Điều đáng ngại là Cosiloon cài đặt từ trước, nằm rất sâu và xem như là ứng dụng hệ thống, là một phần của hệ điều hành Android nên rất khó bị loại bỏ", đại diện Avast nhấn mạnh.
Hiện phía Avast đã gửi báo cáo về Cosiloon lên Google. Phía công ty này cho biết đang làm việc để khắc phục vấn đề, cũng như liên hệ với các nhà phát triển nhằm cảnh báo về sự xuất hiện của malware này.