این بدافزار زمانی شناسایی شد که تعدادی از کاربران این نوع دستگاه ها در تالارهای گفتگوی اینترنتی، از اجرا نشدن برخی نرم افزارها و قفل شدن سیستم عامل، پس از نصب خودکار یک افزونه (add-on) به نام Unflod خبر دادند.
افزونه Unflod بر روی بستری که در دستگاه های قفل شکسته Apple نصب می شوند، قرار می گیرد. این بستر که Mobile Substrate یا Cydia Substrate نام دارد، به برنامه نویسان این امکان را می دهد تا قابلیت های سیستم عامل Apple iOS را تغییر داده و یا امکانات جدیدی که شرکت Apple آنها را منع کرده، به دستگاه اضافه کنند.
این افزونه مخرب خود را به تابع SSLWrite که بخشی از سیستم عامل اصلی و سالم iOS است، متصل می کند. بدین ترتیب افزونه Unflod اطلاعات کاربر را قبل از اینکه رمزگذاری شود و از طریق ارتباط امن SSL ارسال گردد، شنود و سرقت می کند. این اطلاعات جمع آوری شده به یکی از چند نشانی IP که در درون افزونه تعریف شده اند، ارسال می گردد.
هنوز مشخص نیست که افزونه مخرب Unflod چگونه وارد دستگاه های iPhone و iPad قفل شکسته می شود. ولی این احتمال وجود دارد که این افزونه در برخی از ابزارهایی که در شکستن قفل دستگاه های Apple مورد استفاده قرار می گیرند، پنهان شده باشد.
برخی از کاربران iPhone و iPad که گرفتار این افزونه ناخواسته و مخرب شده اند، بر روی تالارهای گفتگو، اعلام کرده اند که تنها با حذف افزونه Unfold مشکل برطرف می گردد. ولی چون هنوز منبع و نحوه انتشار این بدافزار بطور کامل مشخص نشده است، نمی توان به یقین اطمینان داشت که حذف Unflod به تنهایی کافیست و امکان دارد در زمان آلودگی، فایلهای مخرب دیگری نیز در سیستم جاگذاری شده باشند.