[datensicherheit.de, 05.09.2013] Im Laufe der letzten drei Monate hat Kaspersky Lab beobachtet, wie der „Obad.a“-Trojaner, der bisher komplexeste mobile Android-Schädling, verbreitet wird. Zum ersten Mal in der Geschichte der Cyberkriminalität rund um mobile Endgeräte nutzt ein Trojaner Botnetze, die von anderen kriminelle Gruppierungen kontrolliert werden. Insgesamt wurden 83 Prozent der Infektionsversuche in Russland verzeichnet. „Obad.a“ kommt wohl hauptsächlich in den GUS-Staaten vor. Darüber hinaus  wurde er auch auf mobilen Endgeräten in der Ukraine, Weißrussland, Usbekistan und Kasachstan entdeckt.

Auffällig ist die gleichzeitige Verbreitung von verschiedenen Versionen, die über den Trojaner „SMS.AndroidOS.Opfake.a“ verteilt werden. Diese doppelte Art der Infektion beginnt mit einer SMS-Nachricht an die Nutzer, die aufgefordert werden, dem Link einer kürzlich empfangenen Nachricht zu folgen. Wenn das Opfer auf den betreffenden Link klickt, wird eine Datei mit „Opfake.a“ automatisch auf das betreffende Smartphone oder Tablet heruntergeladen.

Die schädliche Datei kann nur installiert werden, wenn der Nutzer diese auch startet. Sollte dies geschehen, sendet der Trojaner weitere Textnachrichten an die Kontakte des infizierten Gerätes. Ein Klick in diesen Nachrichten führt dazu, dass „Obad.a“ heruntergeladen wird. Es ist ein sehr ausgeklügeltes System: Ein russischer Mobilfunkanbieter meldete innerhalb von nur fünf Stunden mehr als 600 Nachrichten, die diese Links enthielten. All dies deutet auf eine großangelegte Verbreitung hin. In den meisten Fällen wurde der Schädling über ein bereits infiziertes Gerät verbreitet.

„Obad.a“-Verbreitung über Spam und illegale Seiten

Abgesehen von der Verwendung mobiler Botnetze wird dieser komplexe Trojaner auch über Spam-Nachrichten verbreitet. Typischerweise erscheint eine Warnmeldung, die den Nutzern eine unbezahlte Forderung vortäuscht und sie auffordert, einen Link aufzurufen, der „Obad.a“ automatisch auf das mobile Endgerät herunterlädt. Auch in diesem Fall müssen die Nutzer die heruntergeladene Datei starten, damit der Trojaner installiert wird.

Auch Websites, die Fake-Apps anbieten, dienen zur Verbreitung von „Backdoor.AndroidOS.Obad.a“. Sie kopieren den Inhalt der Google Play-Seiten und ersetzen die offiziellen Links durch bösartige Varianten. Es gibt auch Fälle, in denen offizielle Seiten gecrackt werden und auf gefährliche Websites verlinken. „Obad.a“ zielt ausschließlich auf die Nutzer von mobilen Endgeräten ab. Wenn potentielle Opfer die entsprechende Seite von einem Desktop-PC aus aufrufen, passiert nichts. Jedoch können Smartphones und Tablet-PCs jedes Betriebssystems zu den Fake-Seiten geleitet werden, obwohl nur eine Gefahr für Android-Nutzer besteht.

„In drei Monaten haben wir zwölf verschiedene Versionen von Backdoor.AndroidOS.Obad.a entdeckt. Alle hatten dieselbe Funktion und wiesen eine Code-Verschleierung in hohem Maße auf. Jede dieser Versionen nutzt Schwachstellen des Android-Betriebssystems, mit der das Schadprogramm Administratorrechte über das Gerät erhält. Das macht es um einiges schwerer, den Schädling zu löschen. Sofort nach der Entdeckung haben wir Google darüber informiert, worauf die Lücke in Android 4.3 geschlossen wurde. Allerdings verwenden nur wenige Smartphones und Tablet-PCs diese neue Version. Ältere Geräte mit früheren Android-Versionen sind somit weiterhin gefährdet. Obad.a beherbergt Exploit-Codes für insgesamt drei bislang unveröffentlichte Sicherheitslücken, und erinnert hinsichtlich der Komplexität und Vielseitigkeit stark an moderne PC Schadsoftware. Ein Trend, den wir in der Android Welt seit längerem beobachten und der jetzt seinen bisherigen Hochpunkt erreicht hat“, sagt Christian Funk, Senior Virus Analyst bei Kaspersky Lab.

Weitere Informationen zum Thema:

securelist.com
Neueste Analyse zur Verbreitung von „Obad.a“

[datensicherheit.de, 11.06.2013] Kaspersky Lab hat einen Android-Trojaner untersucht [1], der als der derzeit komplexeste mobile Sc1hädling gilt – „Obad.a“. Das Schadprogramm ist auch deswegen so einzigartig, da es neben seinem anspruchsvollen Aufbau eine Reihe von unveröffentlichten Schwachstellen ausnutzt. Die mobile Malware erinnert daher mehr an einen Windows-basierten als an derzeit eingesetzte mobile Schädlinge und zeigt: nicht nur die Anzahl mobiler Malware steigt, sondern auch deren Qualität. Ist der mobile Trojaner auf einem Smartphone, kann er mehrere Funktionen ausüben, wie zum Beispiel SMS-Versand an Premiumnummern, Download und Installation weiterer Malware auf dem infizierten Gerät sowie das Weiterleiten dieser Schädlinge via Bluetooth. Darüber hinaus steht der Trojaner mit dem Command-and-Control-Server (C&C) androfox.com in Verbindung und kann dadurch Geräteinformationen und Nutzerdaten stehlen sowie aus der Ferne Befehle entgegen nehmen.

Kaspersky Lab identifiziert den Multifunktionstrojaner-Schädling als „Backdoor.AndroidOS.Obad.a“. Die folgenden Merkmale sind neben den oben aufgeführten bemerkenswert:

• Die Malware-Entwickler nutzten Fehler in der beliebten Software DEX2JAR sowie im Android-Betriebssystem, um die Entdeckung des Trojaners zu erschweren. „Obad.a“ besitzt kein Interface und agiert im Hintergrund.
• Die bei der Malware verwendeten Zeichenketten sind alle verschlüsselt. Bei Programmstart wird eine weitere Dechiffrierungsroutine gestartet. Dies erschwert eine dynamische Analyse erheblich.
• Der Trojaner nutzt eine Zero-Day-Schwachstelle in Android, um an die Administratorenrechte zu gelangen. Damit kann „Obad.a“ nicht mehr vom Gerät gelöscht werden. Über die erweiterten Administratorenrechte kann der Schädling den Bildschirm des infizierten Geräts für bis zu zehn Sekunden blockieren. Dies geschieht, wenn das Smartphone mit einem freien WLAN-Netzwerk verbunden oder Bluetooth aktiviert ist. Steht eine Verbindung zur Verfügung, kann der Trojaner sich selbst und weitere Schadprogramme auf andere Geräte kopieren, die sich in der Nähe befinden.
• Der mobile Trojaner steht in Kontakt mit einer Kommandozentrale, einem Command-and-Control-Server (C&C). Er ist in der Lage, folgende Informationen verschlüsselt an seinen C&C-Server (Androfox.com) zu schicken: die MAC-Adresse des Bluetooth-Geräts, den Namen des Betreibers, die Telefonnummer, die IMEI-Nummer, das Konto-Guthaben des Nutzers und die Ortszeit. Zudem verschickt er eine Information, ob Administratorenrechte erfolgreich erlangt werden konnten.
• Durch die Verbindung mit einem C&C-Server kann der Trojaner daneben Textnachrichten versenden, Remote-Shell-Befehle ausführen, als Proxy agieren, Verbindungen mit bestimmten Adressen aufbauen, Dateien vom Server herunterladen und installieren, eine Liste der verwendeten Applikationen und Nutzerkontaktdaten an den Server sowie Dateien an alle entdeckten Bluetooth-Geräte schicken.

Aktuell kennt Kaspersky Lab über 91.000 einzelne Varianten und 604 Familien mobiler Schädlinge. Über 99 Prozent der heutigen mobilen Schadprogramme haben es auf Android abgesehen.

Weitere Informationen zum Thema:

securelist.com, 06.06.2013
[1] The most sophisticated Android Trojan