Theo hãng bảo mật Lookout, DeathRing được cài sẵn từ trước khi điện thoại được đóng gói, giả dạng như một ứng dụng về nhạc chuông, nhưng lừa người dùng tải các SMS và nội dung WAP chứa mã độc từ một máy chủ điều khiển Trojan.
Sau khi SMS và các nội dung web được tải về, chúng sẽ được tội phạm sử dụng để thực hiện hàng loạt các cuộc tấn công như lừa đảo phishing, thâm nhập dữ liệu cá nhân, trong đó có các thông tin về tài khoản tài chính ngân hàng, lưu trên điện thoại của nạn nhân.
DeathRing được xác định có nguồn gốc từ Trung Quốc và xuất hiện trên một loạt smartphone ở Việt Nam, Ấn Độ, Đài Loan, Indonesia và Nigeria. Tuy nhiên, các chuyên gia tại Lookout cho rằng mã độc này cũng có thể hiện diện trên cả những dòng smartphone giá cao hơn tại Mỹ, châu Âu.
"Ngày nay, hacker tấn công vì tiền. Nếu tác giả của mã độc này thấy tiềm năng từ nó, chúng có thể mở rộng để hướng đến 'mẻ cá' lớn hơn", hãng bảo mật nhận định. "Hiện chúng tôi chưa xác định DeathRing bị cài đặt từ khâu nào trong quá trình sản xuất, nhưng nó đã nằm sẵn trong firmware (phần mềm hệ thống) của nhiều thiết bị khác nhau".
Danh sách các điện thoại bị phát hiện chứa mã độc này gồm có Galaxy S4 và Galaxy Note 2 hàng giả (không phải hàng do Samsung sản xuất), Gionee Gpad G1, Gionee GN708W, Gionee GN800, Polytron Rocket S2350, nhiều điện thoại của TECNO, Hi-Tech Amaze Tab, Karbonn TA-FONE A34/A37, điện thoại nhái có tên Jiayu G4S- Samsung Galaxy S4, Haier H7 và chiếc smartphone i9502+ nhái hàng Samsung nhưng không rõ tên nhà sản xuất.
DeathRing được kích hoạt vào lần khởi động thứ năm của điện thoại, tức khi người dùng tắt máy hoặc máy hết pin và được bật lại vào lần thứ năm. Nó không thể bị gỡ bỏ thông qua các chương trình diệt virus thông thường hiện nay. Do đó Lookout khuyến cáo người dùng nên xác định rõ nguồn gốc của thiết bị mà họ định mua, nhất là những smartphone giá rẻ đến từ Trung Quốc, và luôn kiểm tra hoá đơn điện thoại xem có các khoản phí bất thường không.
Châu An