Οι χαρακτήρες Unicode RLO έχουν σχεδιαστεί για να υποστηρίξουν τις γλώσσες που γράφονται από δεξιά προς τα αριστερά, όπως τα εβραϊκά ή τα αραβικά. Ωστόσο, οι προγραμματιστές του κακόβουλου λογισμικού χρησιμοποιώντας αυτή την τεχνική κατάφεραν να καλύψουν τις επεκτάσεις των κακόβουλων αρχείων.
Στην περίπτωση του κακόβουλου λογισμικού για Mac όπως αναλύεται από την F-Secure, το κακόβουλο αρχείο έχει την επέκταση .App (RecentNews.fdp.app). Ωστόσο, επειδή χρησιμοποιούν τη γραφή RLO, οι Unicode χαρακτήρες τοποθετούνται πριν από το “f” και το αρχείο γίνεται RecentNews.ppa.pdf
.Έτσι το κακόβουλο αρχείο αντί να εμφανίζεται σαν εφαρμογή, εμφανίζεται σαν αρχείο PDF. Αν κάποιος πάει να το ανοίξει, δημιουργεί ένα cron job για την μελλοντική έναρξή του, και ένα κρυφό φάκελο που αποθηκεύει τα συστατικά του.
Το κακόβουλο λογισμικό παίρνει τις εντολές για το πως θα βρει τον C&C διακομιστή του, από βίντεο του YouTube και άλλες ιστοσελίδες.
Κύριος στόχος του είναι να πάρει screenshots και αρχεία εγγραφής ήχου με τη χρήση μιας τρίτης εφαρμογής που ονομάζεται Sox.
Το Janicab.A είναι γραμμένο σε Python, χρησιμοποιεί py2app για τη διανομή του, και είναι που υπέγεγραμένο με ένα αναγνωριστικό κάποιου Apple Developer.