Как объяснили в Group-IB, вирус Gustuff рассчитан на то, чтобы заражать устройства пользователей в массовых количествах и красть деньги «оптом», поскольку имеет функцию, которой до этого не было в подобных программах. Это функция «автозалива» в программы криптокошельков и банковских dapps.

Gustuff попадает на мобильный телефон через рассылки в сообщениях, содержащих ссылки на APK-файлы. Затем вирус считывает контакты и по ним распространяется с зараженного смартфона. Или для расшаривания может использоваться база данных сервера.

Троян, попав в смартфон, начинает выполнять команды, поступающие к нему от головного сервера. Вирус способен нажимать на разные кнопки, вводить текст в полях банковских программ. Алгоритм для людей с особенными потребностями Accessibility Service позволяет вирусной проге обходить защитные блоки, выставляемые банками для устаревших троянов. Gustuff способен инициировать появление фейковых  Push-уведомлений с иконками якобы легитимных приложений.