После запуска файла, пользователям предлагается установить бесплатное приложение Twit Tube. Вместо заявленной программы троян загружает из интернета и устанавливает специальный плагин Yontoo для наиболее популярных среди пользователей Mac OS X браузеров: Safari, Chrome и Firefox. Этот плагин в процессе просмотра веб-страниц в фоновом режиме передает на удаленный сервер данные о посещаемых страницах. Также Yontoo получает от злоумышленников специальный файл, позволяющий встраивать в просматриваемые пользователем страницы различные рекламные модули.

Такие расширения для браузеров детектируются антивирусным ПО как Adware.Plugin. Аналогичная схема распространения "рекламного трояна" существует и для ОС Windows.

С начала 2013 года специалисты Dr. Web отмечают рост числа рекламных приложений для различных платформ, в том числе для операционной системы Mac OS X. Таким образом злоумышленники зарабатывают на рекламных кампаниях партнерских программ, их интерес к пользователям компьютеров Apple растёт.

Во время работы vSkimmer отыскивает в памяти компьютера процессы, связанные с заданными параметрами, сканирует ОЗУ на предмет наличия потоков со сведениями о банковских картах и перехватывает так называемые данные Track 2, хранящиеся на магнитной ленте карты (если для платежа не применяется PIN-код или специальный чип-ключ).
Интересно также отметить, что у vSkimmer есть функционал, позволяющий ему работать в случае отсутствия подключения к интернету. vSkimmer может сбрасывать данные на USB-устройства, именуя том USB-носителя, как KARTOXA007.

Примечательной особенностью Tand of Thief является поддержка расширенных методов атаки, например, троянское ПО может вставлять контролируемое злоумышленником содержимое в открываемые пользователем легитимные web-страницы банковских систем.
В силу разнородности Linux-систем и затруднения распространения ПО через эксплуатацию уязвимостей (для каждой сборки дистрибутива необходимо использовать отдельный вариант эксплоита), для интеграции Tand of Thief на машины пользователей разработчиками трояна предлагается использовать методы социальной инженерии. Для управления работой трояна подготовлен специальный web-интерфейс, позволяющий злоумышленнику контролировать поражённые машины.Разработчики пытаются продавать систему в хакерских форумах по цене 2000$. По заявлению продавцов, троян уже опробован в работе в 15 дистрибутивах Linux, включая Ubuntu, Fedora и Debian, и поддерживает 8 типов десктоп-окружений, в том числе GNOME и KDE. Перехват HTTP- и HTTPS-сессий реализован для Linux-сборок Firefox, Google Chrome, Chromium, Aurora и Ice Weasel. После активации троян блокирует доступ к адресам, с которых осуществляется установка обновлений или загрузка антивирусного ПО. Для защиты от анализа в трояне предусмотрены средства противодействия отладке и запуску в изолированных и виртуальных окружениях.

Разработка под названием Jekyll незаметно проникает в систему, после чего способна отслеживать местоположение устройства, считывать и запоминать каждое движение на экране и незаметно включать микрофон для записывания звукового потока и передачи записи киберпреступникам.Кроме того, вредоносная программа способна отправлять SMS-сообщения, электронные письма и публиковать сообщения в Twitter без ведома жертвы.
«Мы успешно провели атаку на группу устройств, на которые был установлен троян Jekyll. В результате было доказано, что несмотря на «песочницу» iOS, мобильные гаджеты Apple могут выполнять вредоносные операции, такие как отправка сообщений в Twitter, передача фотографий, контактов и другой персональной информации злоумышленнику, отправка почты, SMS и другое», – сообщили разработчики.По словам ученых, они уже уведомили Apple о существующей уязвимости. Более того, образцы троянской программы Jekyll находятся в безопасной среде и не загружены в Сеть, чтобы обезопасить пользователей i-устройств.Ожидается, что публичная демонстрация возможностей трояна состоится 14 августа на Симпозиуме по безопасности компьютерных систем и сетей USENIX в Вашингтоне, США.