Según estos analistas, por primera vez en la historia de la delincuencia informática móvil, un troyano se está extendiendo mediante botnets controladas por otros grupos delictivos. Obad.a se encuentra sobre todo en los países de la CEI. En total, el 83 por ciento de los intentos de infección se registraron en Rusia, mientras que también se ha detectado en los dispositivos móviles en Ucrania, Bielorrusia, Uzbekistán y Kazajstán.
El modelo de distribución más interesante contó con diferentes versiones de Obad.a, propagándose a través de Trojan-SMS.AndroidOS.Opfake.a. Este intento de doble infección comienza con el envío de un mensaje de texto a los usuarios, invitándoles a entrar en un link. Si la víctima hacía 'click' en el vínculo, el archivo que contenía Opfake.a se descargaba automáticamente en el 'smartphone' o tableta.
El archivo malicioso sólo podía instalarse si el usuario pinchaba en el enlace. Si esto sucedía, el troyano enviaba mensajes a todos los contactos del dispositivo recién infectado. Un proveedor de telefonía móvil de Rusia informó del envío de más de 600 mensajes con estos enlaces en sólo cinco horas, por lo que la distribución es masiva. En la mayoría de los casos, el 'malware' se extendió a dispositivos que ya estaban infectados.
Aparte de usar botnets móviles, el troyano también se distribuye a través de mensajes de spam aunque, por lo general, el mensaje recibido advierte al usuario sobre el impago de una deuda. Asimismo, este se extendió a través de tiendas de aplicaciones falsas. Los ciberdelincuentes copian el contenido de páginas de Google Play, y sustituyen los enlaces legítimos por otros maliciosos.
"Nada más descubrirlo, informamos a Google y la brecha se ha cerrado en Android 4.3. Sin embargo, sólo unos pocos smartphones y tabletas nuevos ejecutan esta versión, y los dispositivos más antiguos que ejecutan versiones anteriores siguen estando amenazados", afirmó el experto de Kaspersky LabRoman Unuchek.