Krysanec se skrývá v různých legitimních aplikacích; objevil se třeba byl v mobilním bankovnictví MobileBank ruské banky Sberbank, v aplikaci 3G Traffic Guard na monitorování datového připojení mobilního zařízení a v několika dalších aplikacích -- včetně bezpečnostní aplikace Eset Mobile Security.
Z napadeného přístroje dokáže stahovat data a odesílat je na řídící servery. Jde přitom nejen o pořízené obrázky a videa, ale také třeba aktuální GPS souřadnice, historii navštívených webových stránek, seznam instalovaných aplikací, výpis hovorů nebo obsah zpráv (SMS či WhatsApp).
Může také bez vědomí uživatele vykonávat řadu akcí: zapnout mikrofon a nahrávat zvuky nebo zapnout kameru a pořizovat snímky či videozáznamy. A dokáže z řídících serverů stahovat do infikovaného přístroje další malware.
Trojan Android/Spy.Krysanec se ukazuje na pochybných fórech pro sdílení souborů a na některých sociálních sítích -- zatím ale pouze v Rusku.