首先，這款惡意程序會嵌入到常規的應用中，例如鈴聲錄制和圖片編輯應用，受感染的用戶絕大多數來自亞洲東南部國家，如越南、菲律賓和印度尼西亞，美國和歐洲的感染人數較少。趨勢科技發現攜帶有該惡意程序的應用數量已經超過800款，而且部分應用在Google Play上的下載量已經超過數百萬次。

而該惡意程序另一個狡詐的地方在于它們會嵌入到應用的代碼中。在應用使用過程中并不會出現明顯的惡意代碼，因此在提交至Play Store審核的時候并不會觸發任何flag。然而，一旦從隱蔽的服務器下載和安裝惡意代碼，那么就會自動執行。而這些操作都是在用戶不知情的情況下在后臺進行操作的。

分析人員表示：“如果設備已經被root，那么該惡意程序就會靜默安裝其他類型的APK文件。”對比此前惡意廣告木馬，Xavier的功能及特征更為復雜。首先他具備遠程下載惡意代碼并執行的能力。其次，它通過使用諸如字符串加密，Internet數據加密和模擬器檢測等方法來保護自己不被檢測到。

Xavier竊取用戶數據的行為很難被發現，它有一套自我保護機制，來躲避靜態和動態的檢測分析。此外，Xavier還具有下載和執行其他惡意代碼的能力，使它的威脅性大大增加。