Najgroźniejszy trojan „Obad” na androida

5 września, 2013

W ciągu ostatnich trzech miesięcy analitycy z Kaspersky Lab badali, w jaki sposób rozprzestrzenia się trojan Obad – najbardziej zaawansowany wykryty dotychczas szkodliwy program dla Androida. Okazuje się, że stojący za tym trojanem przestępcy zastosowali nową technikę – po raz pierwszy w historii cyberprzestępczości mobilnej trojan jest rozprzestrzeniany przy użyciu botnetów kontrolowanych przez inne grupy przestępcze. Stwierdzono również, że Obad jest głównie wykrywany w krajach Wspólnoty Niepodległych Państw. Łącznie 83% prób infekcji odnotowano w Rosji, poza tym wykryto je również na urządzeniach mobilnych na Ukrainie, Białorusi, w Uzbekistanie i Kazachstanie.

 

Najbardziej interesującym modelu dystrybucji Obad był rozprzestrzeniany wraz z trojanem Opfake. Ta próba podwójnej infekcji rozpoczyna się od SMS-ów nakłaniających użytkowników do pobrania otrzymanej niedawno wiadomości tekstowej. Jeżeli ofiara kliknie odsyłacz, na smartfon lub tablet zostanie automatycznie pobrany plik zawierający szkodnika Opfake. 

Szkodliwy plik może zostać zainstalowany tylko wtedy, gdy zostanie uruchomiony przez użytkownika; jeżeli tak się stanie, trojan wyśle dalsze wiadomości do wszystkich kontaktów na nowo zainfekowanym urządzeniu. Kliknięcie odsyłacza w tych wiadomościach spowoduje pobranie programu Obad. Jest to dobrze zorganizowany system: jeden z rosyjskich dostawców usług komórkowych zarejestrował ponad 600 SMS-ów zawierających takie odsyłacze w ciągu zaledwie pięciu godzin, co wskazuje na masową dystrybucję. W większości przypadków szkodnik był rozprzestrzeniany przy pomocy zainfekowanych wcześniej urządzeń. 

Oprócz wykorzystywania botnetów mobilnych ten wysoce złożony trojan jest również rozprzestrzeniany przy użyciu wiadomości spamowych. Jest to główny nośnik Obada. W celu nakłonienia ofiary do kliknięcia odsyłacza, który automatycznie pobiera na urządzenie mobilne szkodliwą aplikację, najczęściej wykorzystywana jest wiadomość zawierająca ostrzeżenie o niezapłaconych „długach”. Jednak i w tym przypadku, w celu zainstalowania trojana użytkownicy muszą uruchomić pobrany plik. 

Obad jest również rozprzestrzeniany za pośrednictwem fałszywych sklepów z aplikacjami. Oszuści kopiują zawartość strony Google Play, zastępując legalne odsyłacze szkodliwymi. Warto zaznaczyć, że Obad.a atakuje wyłącznie użytkowników mobilnych. 

„W ciągu trzech miesięcy wykryliśmy 12 wersji trojana Obad. Wszystkie z nich posiadały ten sam zestaw funkcji oraz stosowały wysoki poziom zaciemniania kodu w celu utrudnienia analizy. Ponadto, każda wykorzystywała lukę w systemie Android, która nadaje szkodliwemu oprogramowaniu prawa administratora urządzenia i znacznie utrudnia jego usunięcie. Natychmiast poinformowaliśmy Google o naszym odkryciu, co zaowocowało usunięciem wspomnianej luki w wersji 4.3 Androida. Warto jednak podkreślić, że wersja ta jest wykorzystywana jedynie w przypadku kilku nowych smartfonów i tabletów: starsze urządzenia działające pod kontrolą wcześniejszych wersji systemu mobilnego Google’a nadal są zagrożone. Obad, który wykorzystuje dużą liczbę nieznanych luk, bardziej przypomina szkodliwe oprogramowanie dla systemu Windows niż inne trojany dla Androida” – powiedział Roman Unuchek, ekspert ds. zwalczania szkodliwych programów, Kaspersky Lab.

Szczegóły techniczne dotyczące trojana Obad są dostępne w serwisie SecureList.pl prowadzonym przez Kaspersky Lab: http://securelist.pl/blog/7225,najbardziej_zaawansowany_trojan_dla_androida.html

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]