El malware combina el robo de datos privados, robo de credenciales bancarias, suplantación de identidad y acceso remoto en una aplicación maliciosa. Hasta la fecha, el malware para Android sólo habia tenido una de estas capacidades incorporadas.

Bajo el control de algún atacante, la aplicación roba la lista de contactos y envía mensajes SMS, puede iniciar una actualización de aplicaciones maliciosas y escanear por aplicaciones bancarias instaladas en el teléfono, reemplazándolas con sitios falsos. El malware también intenta deshabitar cualquier software de seguridad móvil que pudiera estar instalado en el dispositivo infectado.

La versión actual de la aplicación maliciosa escaneó ocho aplicaciones de bancos coreanos y las reemplazó con aplicaciones falsas. "Si bien se limita sólo a los 8 bancos coreanos en este momento, el creador podría añadir fácilmente cualquier otro banco en 30 minutos de trabajo", según FireEye.

La funcionalidad integrada en HijackRAT podría facilitar ataques de secuestro a bancos, de acuerdo con el análisis de malware móvil de FireEye. Estos ataques serían posibles gracias a la combinación de información personal de dispositivos comprometidos con la introducción de aplicaciones bancarias falsificadas en teléfonos inteligentes o tabletas Android.

Aunque HijackRAT se disfraza como un "servicio de Google", no tiene afiliación con la tienda oficial Google Play Store.