Aktuelles, Branche - geschrieben von cp am Dienstag, Juni 11, 2013 23:53 - ein Kommentar
„Obad.a“: Kaspersky Lab analysiert den bisher komplexesten mobilen Schädling der Welt
Mobiler Multifunktionstrojaner stiehlt Daten, lädt weitere Malware nach, führt Befehle aus der Ferne aus und verbreitet sich selbst
[datensicherheit.de, 11.06.2013] Kaspersky Lab hat einen Android-Trojaner untersucht [1], der als der derzeit komplexeste mobile Sc1hädling gilt – „Obad.a“. Das Schadprogramm ist auch deswegen so einzigartig, da es neben seinem anspruchsvollen Aufbau eine Reihe von unveröffentlichten Schwachstellen ausnutzt. Die mobile Malware erinnert daher mehr an einen Windows-basierten als an derzeit eingesetzte mobile Schädlinge und zeigt: nicht nur die Anzahl mobiler Malware steigt, sondern auch deren Qualität. Ist der mobile Trojaner auf einem Smartphone, kann er mehrere Funktionen ausüben, wie zum Beispiel SMS-Versand an Premiumnummern, Download und Installation weiterer Malware auf dem infizierten Gerät sowie das Weiterleiten dieser Schädlinge via Bluetooth. Darüber hinaus steht der Trojaner mit dem Command-and-Control-Server (C&C) androfox.com in Verbindung und kann dadurch Geräteinformationen und Nutzerdaten stehlen sowie aus der Ferne Befehle entgegen nehmen.
Kaspersky Lab identifiziert den Multifunktionstrojaner-Schädling als „Backdoor.AndroidOS.Obad.a“. Die folgenden Merkmale sind neben den oben aufgeführten bemerkenswert:
- Die Malware-Entwickler nutzten Fehler in der beliebten Software DEX2JAR sowie im Android-Betriebssystem, um die Entdeckung des Trojaners zu erschweren. „Obad.a“ besitzt kein Interface und agiert im Hintergrund.
- Die bei der Malware verwendeten Zeichenketten sind alle verschlüsselt. Bei Programmstart wird eine weitere Dechiffrierungsroutine gestartet. Dies erschwert eine dynamische Analyse erheblich.
- Der Trojaner nutzt eine Zero-Day-Schwachstelle in Android, um an die Administratorenrechte zu gelangen. Damit kann „Obad.a“ nicht mehr vom Gerät gelöscht werden. Über die erweiterten Administratorenrechte kann der Schädling den Bildschirm des infizierten Geräts für bis zu zehn Sekunden blockieren. Dies geschieht, wenn das Smartphone mit einem freien WLAN-Netzwerk verbunden oder Bluetooth aktiviert ist. Steht eine Verbindung zur Verfügung, kann der Trojaner sich selbst und weitere Schadprogramme auf andere Geräte kopieren, die sich in der Nähe befinden.
- Der mobile Trojaner steht in Kontakt mit einer Kommandozentrale, einem Command-and-Control-Server (C&C). Er ist in der Lage, folgende Informationen verschlüsselt an seinen C&C-Server (Androfox.com) zu schicken: die MAC-Adresse des Bluetooth-Geräts, den Namen des Betreibers, die Telefonnummer, die IMEI-Nummer, das Konto-Guthaben des Nutzers und die Ortszeit. Zudem verschickt er eine Information, ob Administratorenrechte erfolgreich erlangt werden konnten.
- Durch die Verbindung mit einem C&C-Server kann der Trojaner daneben Textnachrichten versenden, Remote-Shell-Befehle ausführen, als Proxy agieren, Verbindungen mit bestimmten Adressen aufbauen, Dateien vom Server herunterladen und installieren, eine Liste der verwendeten Applikationen und Nutzerkontaktdaten an den Server sowie Dateien an alle entdeckten Bluetooth-Geräte schicken.
Aktuell kennt Kaspersky Lab über 91.000 einzelne Varianten und 604 Familien mobiler Schädlinge. Über 99 Prozent der heutigen mobilen Schadprogramme haben es auf Android abgesehen.
Weitere Informationen zum Thema:
securelist.com, 06.06.2013
[1] The most sophisticated Android Trojan
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren