Analitycy firmy Doctor Web wykryli ogromny botnet (grupę komputerów zainfekowanych złośliwym oprogramowaniem) składający się z urządzeń z systemem Android. Jak do tej pory ponad 200 tys. smartfonów, w tym należących do polskich użytkowników, zostało zainfekowanych wirusami z rodziny Android.SmsSend i włączonych do sieci kontrolowanej przez cyberprzestępców. Według wstępnych szacunków, szkody wyrządzone przez malware jako rezultat tego incydentu mogą wynieść setki tysięcy dolarów.
Do zainfekowania urządzeń w celu włączenia ich do botnetu cyberprzestępcy użyli kilku złośliwych programów: wykrytego ostatnio Android.SmsSend.754.origin, Android.SmsSend.412 (rozpowszechniającego się jako przeglądarka mobilna), Android.SmsSend.468.origin i Android.SmsSend.585.origin. Najwcześniejsza wersja trojana powiązana ze śledztwem dotyczącym tego incydentu to Android.SmsSend.233.origin.
W przeważającej części przypadków, źródłem infekcji okazały się strony będące własnością przestępców oraz witryny zaatakowane i kontrolowane przez nich w celu dalszej propagacji wirusów.
Trojan Android.SmsSend.754.origin ukrywa się pod aplikacją o nazwie Flow_Player.apk. Podczas instalacji wyświetla ona monit o konieczności uruchomienia jej z uprawnieniami administratora, dzięki czemu złośliwa aplikacja zyskuje uprawnienia do blokowania i odblokowywania ekranu. Dodatkowo Android.SmsSend.754.origin zyskuje możliwość późniejszego usunięcia swojej ikony z ekranu "home" systemu Android. Po zakończeniu instalacji, trojan wysyła atakującym wiadomość na temat zainfekowanego urządzenia, która może zawierać takie dane jak IMEI, ilość środków na koncie karty pre-paid, kod kraju czy kod operatora – wystawcy karty SIM, numer i model telefonu komórkowego oraz wersję systemu operacyjnego. Następnie Android.SmsSend.754.origin oczekuje na komendy od intruzów, w odpowiedzi na które potrafi np. wysłać zdefiniowaną wiadomość SMS na konkretny numer lub zbiorczą wiadomość SMS na numery z książki adresowej telefonu, otworzyć określony adres URL w przeglądarce lub wyświetlić wiadomość o konkretnym tytule i treści na ekranie urządzenia.
Według informacji zebranych przez analityków Doctor Web, botnet zawiera ponad 200 tys. urządzeń mobilnych opartych na systemie Android. Większość z nich (124,458) zlokalizowano w Rosji, na drugim miejscu jest Ukraina (39,020 infekcji), a na trzecim Kazachstan (21,555). Polscy użytkownicy również znaleźli się w obszarze działania tego botnetu (192 zainfekowane urządzenia).
Wykryty incydent jest jednym z największych ataków na urządzenia z systemem Android, jakie zostały odnotowane w ciągu ostatnich sześciu miesięcy. Rezultatem działania tego botnetu mogą być dotkliwe szkody wyrządzone użytkownikom przez wspomniane rodzaje malware.
