Báo cáo cho thấy, phần mềm độc hại RottenSys được cài sẵn trên hàng triệu smartphone Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung và GIONEE hoặc được thêm vào ở đâu đó trong chuỗi cung ứng.
Tất cả thiết bị bị ảnh hưởng đều được bán ra bởi Tian Pai, một nhà phân phối điện thoại di động ở Hàng Châu (Trung Quốc), nhưng các nhà nghiên cứu không chắc chắn liệu công ty có tham gia trực tiếp vào việc chèn phần mềm độc hại RottenSys lên smartphone hay không.
RottenSys sẽ qua mặt người dùng bằng cách giả dạng như một ứng dụng hệ thống (System Wi-Fi service). Các nhà nghiên cứu cho biết phần mềm độc hại bắt đầu lây lan vào tháng 9-2016, đến ngày 12-3-2018, RottenSys đã lây nhiễm trên khoảng 4,96 triệu thiết bị.
RottenSys được thiết kế để kết nối với máy chủ do tội phạm mạng điều khiển từ xa. Sau đó, nó sẽ yêu cầu quyền DOWNLOAD_WITHOUT_NOTIFICATION để tải thêm các phần mềm độc hại mà không cần sự đồng ý từ phía người dùng.
Để tạo ra doanh thu, RottenSys sẽ hiển thị quảng cáo trên màn hình chính dưới dạng cửa sổ hoặc quảng cáo toàn màn hình. Các nhà nghiên cứu cho biết tính đến thời điểm hiện tại, RottenSys đã hiển thị khoảng 13.250.756 lần quảng cáo, trong đó người dùng đã nhấp vào khoảng 548.822, điều này đã mang về cho tội phạm mạng 115.064 USD.
Vì RottenSys được thiết kế để kết nối đến máy chủ nên nó có thể tải về các thành phần độc hại mới, từ đó kiểm soát hàng triệu thiết bị bị lây nhiễm. Báo cáo còn cho biết tội phạm mạng đã bắt đầu chuyển những thiết bị bị lây nhiễm thành mạng botnet để phục vụ cho các mục đích bất chính.
Đây không phải là lần đầu tiên các nhà nghiên cứu của CheckPoint tìm thấy phần mềm độc hại được cài đặt sẵn trên smartphone. Năm ngoái, hàng loạt smartphone của Samsung, LG, Xiaomi, Asus, Nexus, Oppo và Lenovo đã bị nhiễm hai phần mềm độc hại cài đặt sẵn (Loki Trojan và thiết bị SLocker), được thiết kế để theo dõi người dùng.