Het Spaanse securitybedrijf Panda Security ontdekte iets meer dan een week geleden een HTC Magic van Vodafone die vol staat met malware voor een botnet. Volgens Vodafone ging het om een incident.

Uit nieuwe informatie van Panda Security blijkt echter dat het niet om een incident gaat. Na het ontdekken van de botnetbesmetting probeerde een medewerker van het eveneens Spaanse beveiligingsbedrijf 12sec zijn in dezelfde periode aangeschafte Magic uit. Ook hij ontdekte het Mariposa-botnet op zijn telefoon. Daarnaast ontdekte hij andere malware zoals een Windows-worm.

Exact hetzelfde probleem

De SD-kaart van de telefoon is gecontroleerd door Panda Security met eigen software en de gratis virusscanner AVG. Uit beide methodes rolde hetzelfde resultaat. Hieruit bleek ook dat de malware iets meer dan een week voordat de telefoon bij de medewerker van 12sec werd bezorgd op de telefoon is gezet.

De malware is in precies dezelfde staat aangetroffen als in het eerste geval. De software is ook geladen in de dezelfde nadfolder directory en heet ook autorun.exe en zal automatisch geactiveerd worden als de telefoon wordt aangelsoten op een Windows-pc. Ook de Mariposa-client is hetzelfde met dezelfde bijnaam en command & control servers.

Vodafone stelde in het vorige geval dat de telefoon waarschijnlijk gekocht was door iemand anders die de malware op de telefoon zette en terug heeft gebracht. Daarna werd de telefoon als nieuw verkocht, denkt de provider.

Geen incident

Volgens Panda wijst deze nieuwe ontdekking erop dat het niet om een incident gaat. "Eerst dacht ik dat het inderdaad ging om een telefoon die op deze manier besmet werd. Maar omdat het gaat om exact hetzelfde botnet met precies dezelfde eigenschappen en met zo weinig tijdsverschil tussen beide gevallen met een bezorgdatum die valt in dezelfde week, wijst er volgens mij op dat het gaat om een groter probleem", schrijft onderzoeker Pedro Bustamante.

Bustamante denkt dat er een kink in de kabel zit bij het controleren van de kwaliteit van de telefoons, of dat een bepaalde serie besmet is. Hij adviseert nieuwe eigenaren van een HTC Magic, die de telefoon hebben aangeschaft in de weken rond 1 maart de telefoon en de sd-kaart dubbel te controleren.