Botnet rozprzestrzeniania trojany na Androidach
Botnet Cutwail, który rozprzestrzeniał już w swoich dziejach trojana bankowego znanego pod nazwą Zeus, teraz obsługuje rozprzestrzenianie nowego trojana dla systemu Android, który znany jest pod nazwą Stels. Stels infekuje urządzenia z systemem Android, podszywając się pod aktualizację programu Adobe Flash Player. Zespół ds. bezpieczeństwa w firmie Dell opublikował szczegółową analizę scenariusza ataku.
Według analizy, atak zaczyna się od wiadomości spam pochodzących rzekomo z Internal Revenue Service, urzędu skarbowego w USA. Jeśli użytkownik kliknie w link znajdujący się w wiadomości e-mail, skrypt bada, czy użytkownik korzysta z urządzenia Android. Jeśli okazuje się, że nie, jednak poszkodowany korzysta z przeglądarki Internet Explorer, Mozilla Firefox lub Opera, zostanie on przekierowany do strony internetowej służącej jako fasada dla zestawu exploitów (szkodliwe aplikacje wykorzystujące luki z zabezpieczeniach) Blackhole, który następnie próbuje wykorzystać przestarzałe wtyczki przeglądarki do próby zainfekowania komputera.
Jeśli jednak skrypt natrafia na urządzenie z systemem Android, wysyła użytkownika na stronę internetową oferującą aktualizację Flash Playera. Aby zainstalować fałszywe aktualizacje, użytkownik musi mieć włączoną funkcję pozwalającą działać aplikacjom z nieznanych źródeł.
Gdy aktualizacja zostanie zatwierdzona, instalowany jest trojan. Kiedy aplikacja jest otwarta po raz pierwszy, informuje, że aktualizacja nie działa i będzie odinstalowywana. Oczywiście Stels w tym czasie działa w tle, tworzy furtkę do pobrania kolejnego złośliwego oprogramowania. Trojan może także wyciągać dane z listy kontaktów, wysyłać wiadomości tekstowe na linie premium, nawiązywać połączenia telefoniczne i przeszukiwać wiadomości tekstowe. Współpracując z trojanem ZeuS, Stels może zatem potencjalnie ominąć zabezpieczenie dwustopniowego uwierzytelniania.
Jednakże trojan nie zakopuje się zbyt głęboko w systemie operacyjnym Android. Fałszywą aktualizację Flash'a można łatwo znaleźć wśród "aplikacji działających" w menu ustawień i odinstalować.