Еще в восемь вечера сайт отдавал мобильному браузеру редирект на эту track.cpatool.net
Детали послал письмом, вкратце - в папочке /wp-content/ был файлик default.php с датой создания 21.03.2013, как раз тогда была утечка пароля от ftp. В файлике - какой-то код, закодированный в base64, Касперский его опознает как Backdoor.PHP.Small.cc
После сноса этого файлика - сайт на мобильный браузер стал выдавать нормальный код

Интересно, где эта зараза еще могла прописаться

P/S/ Я так и не понял, как и откуда этот default.php запускался - нигде нет его явного вызова :(