特定の場所で周囲の音や会話を自動的に録音、フロントカメラでユーザーの顔写真撮影も Skygofreeは2014年から活動をしており、以来、定期的に機能を強化。インストールされたAndroid端末の位置を追跡し、端末が特定の場所に入ったときに周囲の会話や音の録音を開始する機能、Androidのアクセシビリティ機能を悪用してWhatsAppのメッセージを傍受する機能、端末のWi-Fiがオフになっている場合でも、攻撃者がコントロールするWi-Fiネットワークにこっそり接続させる機能など、これまでのマルウェアには無かったような機能が実装されているとしている。さらに、大手端末メーカーが実装しているバッテリー節約技術を悪用して、自身を「保護されたアプリ」リストに追加し、画面をオフにしたときにも自動的にプロセスを停止されないようにする機能も備える。 このほか、通話記録やSMS、スケジュール、メモリに保存されている情報の窃取、動画・写真の撮影なども可能。また、ユーザーが端末のロックを解除するときにフロントカメラを起動して、そのユーザーの写真を撮影する機能も備えているという。 なお、Kaspersky Labのクラウドネットワークで記録したSkygofreeの感染件数はこれまに数件で、すべてイタリア。また、Windowsプラットフォームをターゲットとして最近開発されたモジュールもKaspersky Labでは多く発見しており、攻撃者はWindowsユーザーも狙っているとしている。

国内キャリアの古いAndroid端末が脆弱性攻撃のターゲットに Kaspersky Labが報告したこのマルウェアについて、マカフィー株式会社では、そのターゲットは日本のユーザーである可能性が高いと分析している。 Skygofreeでは、端末の脆弱性を効率的に攻撃するために、端末のモデル名、ビルド番号、悪用可能な脆弱性コードの情報がデータベースとして管理されているという。そのデータベースに含まれる端末のモデル名をKaspersky Labが一覧にまとめているが、それをマカフィーが分析したところ、日本の通信キャリアから発売されたモデルが半数を占めていることが判明した。具体的には、京セラの「HONEY BEE 201K」、サムスンの「Galaxy S4 SC-04E」、ソニーモバイルコミュニケーションズの「Xperia VL SOL21」といった端末が挙げられている。 また、それらの端末は、2012～2013年ごろの時期に発売されたモデルが多いことから、OSやファームウェアのソフトウェアアップデートが提供されなくなった古い端末がターゲットになっていると、マカフィーでは指摘している。 さらに、Skygofreeが監視対象としているメッセージングアプリの1つとしてLINEが含まれており、その連絡先と通話履歴の収集を試みるようになっている点に着目。しかも、そのコマンド処理の優先順位は、Viber、Messanger、Facebook、WhatsAppといったアプリではなく、LINEが真っ先に行われるようになっているという。 マカフィーによると、国内の通信キャリアをかたって偽のシステムアップデートのインストールを促すような偽のウェブサイトは、現時点では発見されていない。「しかし、脆弱性を突くためのターゲットデバイスの多くが日本で発売された端末であり、さらに日本で有名なメッセージングアプリ『LINE』がその監視対象であることから、このスパイウェアの標的は日本のユーザーであると推測できる」と指摘。今後、Skygofreeをインストールさせようとする偽サイトが作成される可能性があるとして、日本のユーザーに気を付けるよう呼び掛けている。