Специалисты Symantec отмечают, что использование бот-сети на устройствах с ОС Android возможно только при выявлении и использовании новых уязвимостей. Однако не исключена имитация описанного варианта, например, отправка спама со скомпрометированных ПК.
О том, что письмо было отправлено взломанным почтовым клиентом Android, говорит присутствие в техническом заголовке сообщения идентификатора androidMobile, а также строки Sent from Yahoo! Mail on Android в подписи.
Кроме того, учетные записи, которыми пользовались спамеры, не выглядят реальными адресами электронной почти и создаются, скорее всего, в соответствии с заданным шаблоном.
Также в компании отмечают, что большая часть IP-адресов, с которых производятся рассылки, не принадлежит мобильным сетям. Однако однозначно определить тип устройства по IP-адресу невозможно, так как он может быть выделен, к примеру, беспроводной точкой доступа.
У специалистов Symantec есть несколько версий происхождения подобного спама. Наиболее вероятная – спамеры используют те же веб-сервисы, что и приложение Yahoo! Mail for Android, спам рассылается с компьютеров или с помощью вредоносной программы для ОС Android. Такой подход позволяет злоумышленникам обойти некоторые спам-фильтры, пропускающие сообщения с мобильных платформ. Есть и еще две версии – взлом приложения Yahoo! Mail for Android, при котором сообщения отправляются без уведомления пользователя. Однако при изучении программы специалисты не выявили ошибок в архитектуре приложения. Наконец, возможно, что спамеры просто подделывают технические заголовки различных писем.