Bezpečnostní specialista Terry Zink ze společnosti Forefront Online Security v blogovém příspěvku upozornil na poznámku na konci všech spamových zpráv „Sent from Yahoo! Mail on Android“. Mohlo by to znamenat, že tvůrci botnetu buď zneužívají přímo mobilní aplikaci společnosti Yahoo, nebo jinou mobilní aplikaci pro Android, která ji dokáže zneužít.
Další stopu nabízí analýza adres IP, ze kterých je nevyžádaná pošta rozesílána. Jedná se zejména o Filipíny, Chile, Indonésii, Libanon, Omán, Rusko, Saudskou Arábii, Thajsko, Ukrajinu a Venezuelu. „Všechny tyto zprávy jsou odeslány z telefonů s Androidem. Proslýchá se toho hodně, tohle je ale první případ, kdy jsem to viděl na vlastní oči – nějaký spammer ovládá botnet vytvořený z přístrojů s Androidem. Ty se připojují k platným účtům Yahoo Mail a rozesílají spam,“ napsal Zink.
Podle něj je nejpravděpodobnějším vysvětlením, že si nakažení uživatelé nainstalovali nakaženou aplikaci pocházející z neoficiálních zdrojů. „Vsadil bych se, že si ti uživatelé stáhli nějakou škodlivou aplikaci pro Android, která je jinak k dispozici jen v placené verzi. Nebo si podobným způsobem nainstalovali přímo nakaženou mobilní aplikaci Yahoo pro Android,“ vysvětlil dále Zink.
Bezpečnostní společnost Sophos Zinkova slova potvrdila. I podle ní pochází spam z platných účtů freemailu Yahoo. „Je pravděpodobné, že uživatelé systému Android si stahují nějakou pirátskou verzi aplikace nakaženou trojským koněm. Námi analyzované vzorky pocházely z Argentiny, Jordánska, Pákistánu, Ruska a Ukrajiny,“ informoval Chester Wisniewski ze společnosti Sophos.
Uživatelům, kteří instalují aplikace ze standardních tržišť pravděpodobně žádné nebezpečí nakažení nehrozí. Tato tržiště provádějí kontrolu všech předkládaných aplikací, nemělo by se tedy stát, že by propustila nějakou, která obsahuje škodlivý kód.
Tento případ nicméně upozorňuje na chabou ochranu mobilních sítí a telefonů, která usnadňuje vytvoření mobilních netbotů. Mobilní variantu je obtížnější zaznamenat, pravděpodobně i proto, že se mobilům prozatím věnuje podstatně méně bezpečnostních firem než osobním počítačům připojeným k Internetu.
„Uživatelé přístrojů s Androidem by měli být velmi opatrní při stahování aplikací, měli by se vyhnout pirátským verzím staženým z neoficiálních zdrojů,“ upozornil Wisniewski. „Google, Amazon i ostatní provozovatelé tržišť aplikací sice neodkážou eliminovat veškerý malware, riziko nakažení je ale mimo tento ekosystém podstatně vyšší,“ dodal.