Trojan Dvmap có khả năng không chỉ nhận quyền truy cập root (root là quyền kiểm soát hệ thống trên thiết bị-PV) trên một smartphone chạy Android, mà nó còn có thể kiểm soát thiết bị bằng cách chèn mã độc hại vào thư viện hệ thống. Nếu thành công, nó có thể xóa quyền truy cập root. Trojan này đã được người dùng tải xuống từ Google Play hơn 50.000 lần kể từ tháng 3.2017.

Để vượt qua kiểm tra an ninh của chợ ứng dụng Google Play của Google, người tạo ra Trojan Dvmap đã tải một “phiên bản sạch” của nó lên chợ ứng dụng này, sau đó nó mới được cập nhật phiên bản độc hại, rồi lại tải lên tiếp một phiên bản sạch khác. Đây là một hành vi tinh vi mới của tin tặc.

Dvmap Trojan tự cài đặt vào một thiết bị nạn nhân trong hai giai đoạn. Trong giai đoạn đầu, phần mềm độc hại cố gắng giành quyền root trên thiết bị. Nếu thành công, nó sẽ cài đặt một số công cụ, một số trong đó có vài nhận xét bằng tiếng Trung Quốc. Trong giai đoạn chính của sự lây nhiễm, Trojan khởi chạy một tập tin "bắt đầu", kiểm tra phiên bản Android được cài đặt và quyết định thư viện nào để đưa mã của nó vào. Bước tiếp theo, ghi đè lên mã hiện có với mã độc hại, có thể làm cho thiết bị bị nhiễm hoàn toàn hư hỏng.

Các thư viện hệ thống mới được vá thực hiện một môđun độc hại, có thể tắt tính năng VerifyApps. Sau đó, thiết bị sẽ chuyển sang cài đặt 'Nguồn không xác định' cho phép cài đặt ứng dụng từ mọi nơi chứ không chỉ là từ Google Play. Đây có thể là các ứng dụng quảng cáo độc hại hoặc người dùng không mong muốn.