V samotném jádru operačního systému Android se nachází Stagefright, komplexní softwarová knihovna, která je součástí AOSP (Android Open Source Project). Využívá se pro backend engine pro přehrávání různých multimediálních souborů. Od Android verze Froyo 2.2 až po Lollipop 5.1.1, které používá až 95 % všech zařízení, se v ní však nachází bezpečnostní slabina, kterou může útočník snadno zneužít. Stačí když vám někdo pošle speciálně upravený multimediální soubor (v tomto případě video) a vaše zařízení si jej stáhne.

A tady je právě kámen úrazu. Případný malware neaktivuje přehráním či otevřením souboru, prostě jej stačí si stáhnout, tím se škodlivý kód spustí. Dokonce si toho ani nemusíte všimnout, spousta aplikací jako Messages, Google Hangout, Messager anebo WhatsApp si prostě multimediální soubor stáhnou automaticky. V současné době je tak jediným řešením zakázat stahování multimediálních zpráv ve všech podobných aplikacích.

Pokud vás tedy útočník chce dostat, stačí mu k tomu znát vaše telefonní číslo. Následný malware pak může provádět prakticky všechno, co mu útočník nařídí. Zkopírovat si vaše data a následně vás vydírat, zařadit zařízení do Botnet anebo jen zahladit stopy a čekat na vhodný okamžik. Že byl váš telefon kompromitován se také nemusíte nikdy dozvědět. Chytře navržený malware se umí schovat doslova vymazat svou historii.

Než se váš operační systém Android aktualizuje, měli byste zvážit zákaz stahování multimediálních souborů u všech aplikací, které k tomu mají oprávnění. Dále být obezřetní a ignorovat naprosto všechny odkazy, které směřují na videa. Vaši přátelé mohou mít v tento okamžik napadený telefon a odkazy na videa, které vám od nich přijdou neposlali oni, ale zákeřný malware, který je k šíření naprogramovaný. Samozřejmě pokud vám podezřelá zpráva od někoho z přátel přijde, dejte mu vědět ať může jednat.

Dále nezapomínejte, že se můžete nakazit i přes MMS. Nastavte si tedy v mobilu zákaz jejich stahování. Nebojte se, než vyjde aktualizace budou uchovány u vašeho operátora. Popřípadě je určitě možné si je vyzvednout přes webové rozhraní na počítači.

Aktuální průběh celé kauzy můžete sledovat na anglické wikipedii pod heslem Stagefright.