Botnet rozprzestrzeniania trojany na Androidach

Według analizy, atak zaczyna się od wiadomości spam pochodzących rzekomo z Internal Revenue Service, urzędu skarbowego w USA. Jeśli użytkownik kliknie w link znajdujący się w wiadomości e-mail, skrypt bada, czy użytkownik korzysta z urządzenia Android. Jeśli okazuje się, że nie, jednak poszkodowany korzysta z przeglądarki Internet Explorer, Mozilla Firefox lub Opera, zostanie on przekierowany do strony internetowej służącej jako fasada dla zestawu exploitów (szkodliwe aplikacje wykorzystujące luki z zabezpieczeniach) Blackhole, który następnie próbuje wykorzystać przestarzałe wtyczki przeglądarki do próby zainfekowania komputera. 

Jeśli jednak skrypt natrafia na urządzenie z systemem Android, wysyła użytkownika na stronę internetową oferującą aktualizację Flash Playera. Aby zainstalować fałszywe aktualizacje, użytkownik musi mieć włączoną funkcję pozwalającą działać aplikacjom z nieznanych źródeł.

Gdy aktualizacja zostanie zatwierdzona, instalowany jest trojan. Kiedy aplikacja jest otwarta po raz pierwszy, informuje, że aktualizacja nie działa i będzie odinstalowywana. Oczywiście Stels w tym czasie działa w tle, tworzy furtkę do pobrania kolejnego złośliwego oprogramowania. Trojan może także wyciągać dane z listy kontaktów, wysyłać wiadomości tekstowe na linie premium, nawiązywać połączenia telefoniczne i przeszukiwać wiadomości tekstowe. Współpracując z trojanem ZeuS, Stels może zatem potencjalnie ominąć zabezpieczenie dwustopniowego uwierzytelniania.

Jednakże trojan nie zakopuje się zbyt głęboko w systemie operacyjnym Android. Fałszywą aktualizację Flash'a można łatwo znaleźć wśród "aplikacji działających" w menu ustawień i odinstalować.