Theo nhóm bảo mật Zimperium, 470 ứng dụng Android này được đưa lên CH Play từ tháng 3/2020 đến khi bị phát hiện vào tháng 11/2021. Nhóm tìm ra mã độc trong quá trình nghiên cứu GriftHorse - một phần mềm độc hại khác được cài trên hơn 10 triệu thiết bị Android. Hậu quả Dark Herring gây ra được đánh giá cao gấp nhiều lần GriftHorse.

Sau khi cài lên thiết bị, các ứng dụng trên yêu cầu người dùng nhập số điện thoại, lấy lý do để xác minh người dùng. "Trên thực tế, người dùng đang gửi số điện thoại của mình cho dịch vụ thanh toán, thông qua nhà cung cấp dịch vụ di động", nhóm chuyên gia cho biết.

Mức phí mã độc này thu về trung bình là 15 USD/ tháng trên mỗi thiết bị. Do thanh toán qua tài khoản di động, báo cáo chỉ được gửi về vào cuối tháng, nên hầu hết người dùng chỉ biết mình mất tiền khi sự việc đã xảy ra. Ước tính, tổng cộng các nạn nhân có thể mất hàng chục USD tiền di động, trong khi hacker đã thu về hàng trăm triệu USD từ 105 triệu lượt tải các ứng dụng nói trên.

Dark Herring tồn tại được trong thời gian dài là do cách thức hoạt động tinh vi mà những kẻ đứng sau đã thiết lập. Bản thân gần 500 ứng dụng nói trên không nhúng mã độc nên dễ dàng vượt qua khâu kiểm duyệt của Google. Tuy nhiên, trong các ứng dụng chứa một chuỗi mã hóa, dẫn người dùng đến một trang web được lưu trữ trên máy chủ Amazon CloudFront.

Dark Herring ban đầu hoạt động ngầm trong máy để xác định quốc gia, ngôn ngữ cũng như cách thức thanh toán của dịch vụ di động mà người dùng đang sử dụng. Sau đó, chúng sẽ dẫn người dùng đến một trang web được tùy biến theo từng khu vực để làm tăng sự tin tưởng của người dùng khi nhập số điện thoại.

Theo Zimperium, 470 ứng dụng bị phát hiện thuộc nhiều lĩnh vực và mỗi ứng dụng có cách thức hoạt động khác nhau. Điều này cho thấy hacker đứng sau có thể là một nhóm lớn, được tổ chức bài bản.

Hiện các ứng dụng trên đã bị xóa khỏi CH Play. Tuy nhiên, với những người đã cài mà chưa xóa, các ứng dụng có thể vẫn tiếp tục ăn cắp được tiền của người dùng.