По словам специалистов из компании Media Trust, вредоносная программа проверяет глобальную переменную luckyboy, позволяющую ей определять, присутствуют ли на устройстве блокировщики, среды тестирования и активные отладчики. Если они обнаружены, вредоносная программа не запустится. В противном случае ПО запускает пиксель отслеживания, запрограммированный для перенаправления пользователя на вредоносный контент, включая фишинговые страницы и поддельные обновления программного обеспечения.
Как отметили эксперты, операторы LuckyBoy действуют в определенные периоды времени — запускают небольшие кампании по вечерам в четверг и продолжают в течение выходных.
По мере продвижения кампании по этапам выполняются множественные проверки с использованием обширной обфускации кода и исключения доменов, а также хищение информации о конкретных устройствах, включая код страны, размер окон, графическую информацию, количество ядер ЦП, уровень заряда батареи, текущий домен, плагины, наличие web-драйвера и наличие сенсорного ввода. Данная информация может быть использована злоумышленниками в дальнейших атаках.
Вредоносная программа постоянно проверяет, остается ли значение глобальной переменной «luckyboy». В противном случае скрипт прекращает выполнение и завершает работу после предоставления пользователю чистого объявления.