Аналитики полагают, что программное обеспечение было загружено огромным количеством пользователей из интернет-ресурса, расположенного в КНР. Его распространению активно способствует магазин с приложениями Haima. Этот ресурс использует технологии загрузки ПО запретным способом, в обход AppStore.
Вредоносное ПО получило название Developer Enterprise Program. Она распространяет приложения, которые состоят из большого количества объявлений, носящих рекламный характер. Среди них – Baidu, Mobvista и многие другие. Особые модули позволяют не только самовольно транслировать рекламные ролики пользователям, но и потреблять колоссальные объемы интернет-трафика.
Китайский сервис применяет технику загрузки неопубликованных ранее приложений (так называемый "side-loading"). Он позволяет обладателям гаджетов от Apple загружать на свои устройства программы не из официального магазина AppStore. В свою очередь, руководство «яблочной» компании поддерживает технологию side-loading, которая обеспечивает сотрудников частных организаций возможность работы с кастомизированным ПО, отсутствующих в AppStore.
Apple ежедневно блокирует множество поддельных сертификатов, которые и позволяют распространять рекламу. Однако сервис Haima регулярно меняет сертификаты. Они приобретаются на нелегальных форумах. Их средняя стоимость - 300 долларов. Эта сумма весьма небольшая, если учитывать поражающие размеры дохода Haima от рекламного ПО.