A Kaspersky szakértői szerint a Loapi korábban nem látott, bonyolult moduláris architektúrával rendelkezik. Van hirdetési, sms, web feltérképező, proxy és Monero bányászati modulja, mi több, agresszívan védi magát. Valószínűleg ugyanazok a hackerek készítették, akik a 2015-ös Android vírust, a Podecet írták, és nem hivatalos alkalmazás áruházakon keresztül terjesztik népszerű antivírus megoldásnak vagy egy híres pornográf webhely appjának álcázva.
Miután a rosszindulatú fájlokat valaki letölti és telepíti a telefonfonjára, az app adminisztrátori jogokat szerez a felhasználótól például arra hivatkozva, hogy erre szüksége van biztonsági funkcióinak az ellátásához. Ezt követően vagy elrejti az ikonját, vagy úgy tesz, ahogy a felhasználó elvárja tőle, vagyis például elvégez egy antivírus szkennelést az eszközön.
Az egyik Loapi modul hirdetéseket spammel, weboldalakat nyit meg, bannereket és videoreklámokat jelenít meg. A proxy modul elosztott szolgáltatásbénító (DDoS) támadások indítására használható, míg a bányász modul Monero kriptovaluta bányászatára kényszeríti az Androidot. Egy másik modul szöveges üzenetek manipulálására szolgál a támadók parancs és vezérlő szerverével való kommunikáció céljából. Az ide küldött és innen kapott üzeneteket törli, így a felhasználó nem szerez tudomást a háttérben folyó kommunikációról.
Komoly kellemetlenséget okoz az a további modul, amely rejtett JavaScript segítségével a felhasználó nevében előfizet különféle szolgáltatásokra. Ha az előfizetés szöveges üzenettel való megerősítést igényel, a Loapi arról is gondoskodik. Egy 24 órás időszakban a Kaspersky kutatóinak megállapítása szerint a Loapi 28 ezer különböző webcímet próbált megnyitni.
Önvédelem tekintetében rendkívül agresszíven viselkedik a Loapi, amely a vezérlő szerverétől megkapja azoknak az appoknak a listáját, amelyek veszélyt jelentenek rá. Ha egy ilyen appot telepítenek vagy elindítanak, a Loapi egy hamis üzenetet jelenít meg, amely azt állítja, hogy vírust észlelt, és arra kéri a felhasználót, hogy távolítsa el az appot.
Ráadásul a Kaspersky kutatói azt tapasztalták, hogy bányászati modul rendkívüli terhelése és a hatalmas generált webforgalom miatt a teszteléshez használt Android eszköz akkumulátora feldagadt és deformálta a mobil házát.
