Een botnet van duizenden Windows-computers wordt door cybercriminelen ingezet om Android-smartphones en tablets met malware te infecteren. Het gaat om het Cutwail-botnet dat naast de Gameover Zeus banking Trojan ook de Stels Android-malware verspreidt. Een Trojaans paard dat adresboeken van slachtoffers steelt, sms-berichten onderschept en dure nummers kan bellen.

Daarnaast kan de malware ook aanvullende malware installeren. In plaats van de malware via onofficiële Android-marktplaatsen te verspreiden, kiezen de aanvallers nu voor spamcampagnes waarbij slachtoffers via valse e-mailberichten worden verleid om de kwaadaardige app te installeren. Het kan dan gaan om berichten die van de Amerikaanse Belastingdienst of van een 'vriend' afkomstig zijn.

Download
De link in de e-mails wijst naar een gehackte website waarop een PHP-script draait dat het besturingssysteem van de bezoeker analyseert. In het geval de bezoeker vanaf een Android-toestel afkomstig is, krijgt hij een melding te zien dat de Adobe Flash Player moet worden geüpgraded. Als de gebruiker voor het updaten kiest, wordt een kwaadaardig APK-bestand gedownload.

Vervolgens moet de gebruiker dit bestand installeren. Aangezien de applicatie niet van de officiële Google Play Android-marktplaats afkomstig is, moet de installatie van "Unknown Sources" worden ingeschakeld.

Sms-berichten
Eenmaal geïnstalleerd laat de Stels-malware een Flash icoontje in het app-menu zien. Daarnaast stuurt het informatie over het besmette toestel naar de Command & Control-server. Stels kan opdrachten van de aanvallers uitvoeren en monitort inkomende sms-berichten. Afhankelijk van het gekozen filter onderschept de malware alleen sms-berichten die specifieke patronen bevatten, zoals telefoonnummers of mobiele TAN-codes.

Onderzoekers van Dell SecureWorks ontdekten ook code om e-mails te versturen, maar de malware miste code waarmee aanvallers deze functionaliteit konden inschakelen. Aangezien de malware geen root-toegang heeft, is die eenvoudig te verwijderen.

"Het verspreiden van de Stels Trojan via een spamcampagne is bijzonder voor Android-malware, dat meestal via onofficiële marktplaatsen buiten de Google Play app store wordt verspreid", stelt analist Brett Stone-Gross.