Theo nhóm bảo mật Zimperium, 470 ứng dụng Android này được đưa lên CH Play từ tháng 3/2020 đến khi bị phát hiện vào tháng 11/2021. Nhóm tìm ra mã độc trong quá trình nghiên cứu GriftHorse - một phần mềm độc hại khác được cài trên hơn 10 triệu thiết bị Android. Hậu quả Dark Herring gây ra được đánh giá cao gấp nhiều lần GriftHorse.
Dark Herring tồn tại được trong thời gian dài là do cách thức hoạt động tinh vi mà những kẻ đứng sau đã thiết lập. Bản thân gần 500 ứng dụng nói trên không nhúng mã độc nên dễ dàng vượt qua khâu kiểm duyệt của Google. Tuy nhiên, trong các ứng dụng chứa một chuỗi mã hóa, dẫn người dùng đến một trang web được lưu trữ trên máy chủ Amazon CloudFront.
Dark Herring ban đầu hoạt động ngầm trong máy để xác định quốc gia, ngôn ngữ cũng như cách thức thanh toán của dịch vụ di động mà người dùng đang sử dụng. Sau đó, chúng sẽ dẫn người dùng đến một trang web được tùy biến theo từng khu vực để làm tăng sự tin tưởng của người dùng khi nhập số điện thoại.
Theo Zimperium, 470 ứng dụng bị phát hiện thuộc nhiều lĩnh vực và mỗi ứng dụng có cách thức hoạt động khác nhau. Điều này cho thấy hacker đứng sau có thể là một nhóm lớn, được tổ chức bài bản.
Hiện các ứng dụng trên đã bị xóa khỏi CH Play. Tuy nhiên, với những người đã cài mà chưa xóa, các ứng dụng có thể vẫn tiếp tục ăn cắp được tiền của người dùng.
