Onderzoekers hebben op verschillende Android-telefoons malware aangetroffen die vooraf al was geïnstalleerd. Het gaat om telefoons die voornamelijk in Afrika en Azië worden verkocht, zoals Vietnam, Indonesië, India, Nigeria, Taiwan en China. Op de telefoons staat standaard een Trojaans paard genaamd "DeathRing" dat zich als ringtone app voordoet.

In werkelijkheid kan de app sms- en wapcontent van de Command & Control-server op de telefoon downloaden, zo meldt beveiligingsbedrijf Lookout. De malware wordt op twee manieren geactiveerd, afhankelijk van hoe de gebruiker zijn telefoon gebruikt. De malware wordt geactiveerd als de telefoon vijf keer wordt herstart. Daarnaast zal de kwaadaardige service starten als het slachtoffer vijftig keer zijn toestel ontgrendeld.

Lookout heeft verschillende scenario's beschreven wat de malware op een toestel kan doen, maar heeft hier geen concrete voorbeelden van. Wel waarschuwt het bedrijf dat de malware niet door een virusscanner-app kan worden verwijderd, aangezien die zich in de systeemdirectory bevindt. Waar in de logistieke keten de malware wordt toegevoegd is onbekend. Consumenten krijgen dan ook het advies om op te letten waar het toestel dat ze kopen vandaan komt.

De besmettingen zijn aangetroffen op vervalste Samsung GS4/Note II-toestellen, verschillende TECNO-apparaten, de Gionee Gpad G1, Gionee GN708W, Gionee GN800, Polytron Rocket S2350, Hi-Tech Amaze Tab, Karbonn TA-FONE A34/A37, Jiayu G4S (Galaxy S4 kloon), Haier H7 en een kloon van de Samsung i9502+. Het is niet de eerste keer dat vooraf geïnstalleerde malware op Android-toestellen wordt aangetroffen.