Afgelopen vrijdag is de volledige broncode van een Trojaans voor Android op internet gelekt, alsmede de code voor het beheerderspaneel, waardoor experts die konden analyseren en tal van beveiligingslekken ontdekten. Het gaat om de Dendroid Trojan, waar normaal zo'n 300 dollar voor wordt gevraagd.

De Dendroid Trojan beschikt over een "builder" die het mogelijk maakt om het Trojaanse paard aan legitieme apps toe te voegen. Eenmaal actief op een toestel is het mogelijk voor een aanvaller om bestanden te uploaden en downloaden, de camera en microfoon te besturen, sms-berichten te onderscheppen of blokkeren, surfgeschiedenis te bekijken en adresboek en gespreksgegevens te stelen.

De besmette toestellen worden via een online beheerderspaneel aangestuurd. Dit paneel blijkt echter allerlei kwetsbaarheden te bevatten, zoals SQL Injection, het willekeurig uploaden van bestanden en Cross-Site Scripting. Daardoor zouden onderzoekers informatie over de botnetbeheerder kunnen verzamelen of besmette toestellen kunnen bedienen.

"Het gebrek aan controle van gebruikersinvoer in het beheerderspaneel is ernstig, zeker als je het niveau van operationele veiligheid beschouwt dat zelfs bij kleinere malware-campagnes nodig is", zegt Paul Burbage van PhishLabs. Hij stelt dat de kwaliteit van de gelekte broncode niet vergelijkbaar is met de broncode van andere gelekte Trojaanse paarden zoals Zeus, maar dat cybercriminelen er waarschijnlijk toch mee aan de slag zullen gaan om hun eigen varianten te ontwikkelen.