تیم تحقیقاتی اسپایدرلبز نام این بدافزار را Eternidade به معنای ابدیت گذاشته است و بررسی‌ها نشان می‌دهد که این بدافزار با استفاده از یک اسکریپت پایتون، کنترل حساب واتس‌اپ کاربر را در دست گرفته و لینک‌های آلوده را به فهرست مخاطبان قربانی ارسال می‌کند. مهاجمان در این کمپین رویکرد خود را از اسکریپت‌های پاورشل به پایتون تغییر داده‌اند و از زبان برنامه‌نویسی دلفی برای ساخت هسته اصلی تروجان استفاده کرده‌اند که به دلیل سابقه طولانی استفاده در اکوسیستم جرایم سایبری آمریکای جنوبی، ابزاری کارآمد برای تولید بدافزار‌های بانکی محسوب می‌شود.

نحوه عملکرد این بدافزار بر پایه اعتماد کاربران به مخاطبان خود بنا شده است. بدافزار پس از نفوذ به سیستم قربانی، فهرست مخاطبان واتس‌اپ را استخراج کرده و گروه‌ها یا حساب‌های تجاری را فیلتر می‌کند تا تمرکز خود را بر روی افراد حقیقی بگذارد. سپس یک پیام فیشینگ خودکار که متناسب با زمان روز (صبح بخیر، عصر بخیر) تنظیم شده و نام واقعی مخاطب را نیز شامل می‌شود، به همراه یک فایل مخرب برای آن‌ها ارسال می‌کند. این شخصی‌سازی پیام باعث می‌شود گیرنده تصور کند با یک پیام عادی و کاری رو‌به‌رو است و فایل پیوست را اجرا کند.

ساختار فنی این تروجان دارای ویژگی‌های پیچیده‌ای برای پنهان ماندن از دید آنتی‌ویروس‌ها است. بدافزار پس از نصب، زبان سیستم‌عامل را بررسی می‌کند و اگر زبان سیستم پرتغالی برزیلی نباشد، فعالیت خود را متوقف می‌کند. این موضوع نشان می‌دهد که هدف اصلی مهاجمان در حال حاضر کاربران و موسسات مالی در برزیل هستند. پس از تایید موقعیت مکانی، تروجان اقدام به پایش پنجره‌های باز در سیستم می‌کند و به دنبال نام نرم‌افزار‌های بانکی، فین‌تک‌ها و پلتفرم‌های مبادلات رمزارز می‌گردد.

مکانیزم ارتباطی این بدافزار با سرور فرماندهی نیز از روشی غیرمعمول بهره می‌برد. بدافزار به جای اتصال مستقیم به یک آدرس ثابت، از پروتکل IMAP استفاده کرده و با نام کاربری و رمز عبور تعبیه‌شده به یک حساب ایمیل متصل می‌شود. سپس با خواندن موضوع یا بدنه ایمیل‌های موجود در صندوق ورودی، آدرس سرور جدید را دریافت می‌کند. این تکنیک به مهاجمان اجازه می‌دهد تا در صورت مسدود شدن سرور‌های قبلی، به سرعت آدرس‌های جدید را جایگزین کرده و ارتباط خود را با سیستم‌های آلوده حفظ کنند.

تحلیل‌های کارشناسان نشان می‌دهد که این تروجان پس از شناسایی باز شدن یک برنامه بانکی معتبر توسط کاربر، یک لایه جعلی را روی صفحه اصلی بانک نمایش می‌دهد. کاربر با تصور اینکه در حال وارد کردن اطلاعات در سامانه اصلی بانک است، نام کاربری و رمز عبور خود را در این صفحه جعلی وارد می‌کند و این اطلاعات بلافاصله برای مهاجمان ارسال می‌شود. علاوه بر سرقت اطلاعات بانکی، این بدافزار قابلیت‌هایی مانند ثبت ضربات صفحه کلید، ضبط تصاویر صفحه نمایش و استخراج اطلاعات سیستم را نیز داراست.

زیرساخت‌های شناسایی شده توسط محققان حاکی از وجود یک سیستم مدیریت مرکزی است که ترافیک ورودی را کنترل می‌کند. پنل مدیریت این بدافزار به گونه‌ای تنظیم شده که دسترسی به سرور‌های مخرب را تنها برای آی‌پی‌های خاصی از برزیل و آرژانتین مجاز می‌شمارد و سایر درخواست‌ها را به صفحات خطا هدایت می‌کند تا تحلیلگران امنیتی نتوانند به راحتی منبع حملات را ردیابی کنند. آمار‌ها نشان می‌دهد که اگرچه تمرکز اصلی حمله بر آمریکای جنوبی است، اما تلاش‌هایی برای ارتباط با این سرور‌ها از کشور‌های دیگر نظیر ایالات متحده و اروپا نیز ثبت شده است که نشان‌دهنده گستردگی احتمالی دامنه این تهدید در آینده است.