Una vez que el servicio ha sido activado, el icono fraudulento de Flash Player se oculta de la vista del usuario. Sin embargo, en segundo plano el usuario se encuentra ocupado contactando con su centro de mando y control y proporcionndole informacin sobre el dispositivo infectado. El servidor contesta con una URL que conduce a una aplicacin maliciosa a eleccin del ciberdelincuente (un troyano bancario en el caso analizado, aunque podra tratarse de cualquier malware, desde adware o spyware a ransomware). Tras obtener el enlace malicioso, el dispositivo comprometido muestra una pantalla que simula la instalacin del servicio de ahorro de batera, sin posibilidad de cerrarla, para as camuflar la actividad maliciosa que est realizando.