Cyfirma juga mengatakan pengembang memiliki aplikasi ketiga di Play Store, yang tidak berbahaya. Sebagaimana dikutip dari Gadgetnow, pergerakan Google sangat cepat. Aplikasi iKHfaa VPN tampaknya sudah dihapus.
Lantas bagaimana aplikasi tersebut mencuri data? Laporan mengklaim aplikasi meminta izin berisiko kepada pengguna selama penginstalan. Izin itu mencakup akses ke daftar kontak pengguna dan data lokasi akurat.
Aplikasi kemudian mengumpulkan data dan mengirimkannya ke penyerang. Tapi, untuk mengakses lokasi target saat ini, GPS di perangkat korban harus aktif. Sedangkan dalam kasus lain, aplikasi mengambil lokasi perangkat terakhir yang diketahui.
Adapun data yang dikumpulkan disimpan secara lokal dengan memakai Android Room Library. Data tersebut lalu dikirim ke server C2 penyerang lewat permintaan HTTP.