Analizując proces ataku, badacze z Kaspersky Lab ustalili, że kampania rozpoczęła się od umieszczenia zainfekowanej reklamy w sieci Google AdSense. Trojan był pobierany tylko wtedy, gdy użytkownik odwiedzał witrynę ze spreparowaną reklamą za pośrednictwem przeglądarki Chrome na urządzeniu z systemem Android. Svpeng podszywał się pod niezbyt istotną aktualizację dla przeglądarki lub popularną aplikację, aby nakłonić użytkownika do wyrażenia zgody na instalację. Po uruchomieniu szkodliwe oprogramowanie znikało z listy zainstalowanych aplikacji i prosiło użytkownika o przyznanie mu praw administratora urządzenia. Takie działanie miało na celu utrudnienie wykrycia szkodliwego oprogramowania.
Cyberprzestępcy znaleźli sposób na obejście niektórych kluczowych funkcji bezpieczeństwa przeglądarki Google Chrome dla Androida. W normalnych warunkach, gdy plik APK jest pobierany na urządzenie mobilne za pośrednictwem zewnętrznego odsyłacza WWW, przeglądarka wyświetla ostrzeżenie o wykryciu potencjalnie niebezpiecznego obiektu. Twórcy trojana Svpeng wykryli i wykorzystali lukę w zabezpieczeniach, która umożliwiała pobieranie plików APK bez powiadamiania
użytkowników. Po zidentyfikowaniu błędu eksperci z Kaspersky Lab natychmiast zgłosili problem firmie Google, która bardzo szybko przygotowała odpowiednie uaktualnienie przeglądarki usuwające lukę.