需要指出的是，“TinyV”重新打包的方式和之前的 IOS 或者 OSX 惡意應用不太一樣（和之前著名的 WireLurker 也不一樣）。例如在某個受感染的播放器應用的 IOS 安裝文件“com.某某.ipa”中，往往存在著兩個執行文件。一個是主要的執行文件 Mach-O ，而另一個則是名為“xg.png”的 Mach-O 動態庫文件。在主要執行文件的導入表中，最后的導入入口是“@executable_path/xg.png”。這意味著在應用被執行后，“xg.png”的文件將會被加載。

而在其它受感染的應用中，除了主要的 Mach-O 執行文件外，也會出現一些額外的 Mach-O 動態庫文件：“dj.png”， “macro_off@2x.png和zippo_on@2x.png” 。“TinyV”的作者修改了原來的應用文件，并增加這些動態庫文件到導入表中。

被加載的“xg.png”文件將會通過調用方法來連接到 C2 服務器并取得配置信息。被 C2 提供的配置將會指向一個 ZIP 文件的 URL，并被指定為一個帶有“zipinstall”值的 “shName”。

在這個被感染的應用中， “macro_off@2x.png” 將會訪問同一個 C2 服務器的另一個頁面來獲取其配置。這次“debUrl”值使用 XOR 算法加密。盡管代碼混淆，但使用關鍵的 “0xaf”加密，卻依然可以顯示相同的 URL。

惡意行為

從 C2 服務器獲得配置后，“TinyV”將會從授予的“debUrl” 值中下載 ZIP 文件。這里調查的 ZI P文件被托管在另一個 C2 服務器apt[.]appstt.com 上，目前該 URL 地址出現 404 錯誤。不過據說在 10 月底開始調查的時候，這個 URL 是可以訪問的，并且“deb.zip”文件也可以下載。