除了連線到控制伺服器外,該惡意 Android App 還會連到另一台伺服器以傳輸竊得的資料;該伺服器過去也曾用來推送其他內含 FaceStealer 的惡意 Android App。
資安廠商表示,駭侵者似乎已經開發出可用的技術,可以先將原本無害的 App 上架到 Google Play Store 中,並且通過上架前的各種檢查;待 App 成功上架後,再透過更新的方式,把一小段惡意程式碼注入到 App 中,造成下載該 App 的用戶裝置遭到攻擊。
另外,該駭侵者在 Google Play Store 提供的資訊中,將開發公司名稱故意設定為「Google Commerce LTD」,也有誤導用戶,以為該軟體為 Google 官方開發的意圖。