Nowe Technologie

Obad: najbardziej zaawansowany trojan dla Androida

Ostatnia aktualizacja: 08.06.2013 00:00
Kaspersky Lab wykrył nowego trojana atakującego urządzenia mobilne z systemem Android.
Obad: najbardziej zaawansowany trojan dla Androida

Szkodliwy program o nazwie ‘Obad’ wykorzystuje bardzo zaawansowane metody ukrywania się oraz unikania analizy i pozwala cyberprzestępcom na zmuszenie zainfekowanego smartfona do wysyłania SMS-ów na numery premium, pobieranie innych niebezpiecznych aplikacji, infekowanie kolejnych telefonów przez Bluetooth i wykonywanie szeregu zdalnych poleceń cyberprzestępców.

  • Niedawno eksperci z Kaspersky Lab otrzymali do analizy aplikację dla systemu Android, która wzbudziła ich podejrzenia już w pierwszej chwili – kod programu był mocno zaszyfrowany, a wiele z jego procedur wykorzystywało bardzo skuteczne metody ukrywania się przed analizą. Wykorzystanie takich mechanizmów w programach przeznaczonych dla komputerów nie jest niczym nowym, jednak w przypadku aplikacji mobilnych jest to bardzo nietypowe. Po dokonaniu szczegółowej analizy okazało się, że aplikacja jest w rzeczywistości wielofunkcyjnym, skomplikowanym trojanem, wykrywanym obecnie przez rozwiązania Kaspersky Lab jako Backdoor.AndroidOS.Obad.a. 

Błędy w Androidzie wykorzystywane przez Obada

Twórcy Obada wykorzystali nieznany dotychczas błąd w systemie Android pozwalający szkodliwej aplikacji na uzyskanie uprawnień administracyjnych bez pojawiania się na liście zainstalowanych programów, które dysponują takimi przywilejami. W rezultacie, gdy Obad zainfekuje urządzenie, jego usunięcie nie jest możliwe przy użyciu konwencjonalnych metod systemowych.

  • Cyberprzestępcy wykryli także drugi błąd w Androidzie, związany z przetwarzaniem pliku AndroidManifest.xml. Plik ten jest obecny we wszystkich aplikacjach dla Androida i stosuje się go do opisywania struktury programów oraz definiowania ich parametrów. Obad modyfikuje plik AndroidManifest.xml w sposób, który sprawia, że nie jest on zgodny ze standardami Google’a, jednak w dalszym ciągu jest poprawnie przetwarzany przez system.

Eksperci z Kaspersky Lab poinformowali już firmę Google o nieznanych dotychczas błędach w Androidzie wykorzystanych przez twórców trojana Obad.

Jak zachowuje się zainfekowany smartfon

Użytkownik zainfekowanego smartfona ma niewielkie szanse na zauważenie szkodliwej aktywności, ponieważ Obad nie posiada żadnego interfejsu i działa w tle. Symptomem infekcji może być blokowanie ekranu telefonu na około 10 sekund, gdy użytkownik aktywuje moduł Bluetooth lub podłącza się do otwartej sieci Wi-Fi. W trakcie tej pozornej bezczynności trojan próbuje atakować wszystkie urządzenia znajdujące się w zasięgu zainfekowanego smartfona.

Dodatkową oznaką infekcji może być komunikat o niepowodzeniu w uzyskaniu uprawnień administratora.

Co trojan robi na zainfekowanym smartfonie

Po uzyskaniu uprawnień administracyjnych trojan natychmiast informuje o tym cyberprzestępcę, wysyłając odpowiedni komunikat na specjalny serwer. Od tego momentu atakujący może zdalnie wykonywać szereg poleceń bez wiedzy i zgody użytkownika zainfekowanego smartfona. Poza wykorzystaniem serwera, cyberprzestępcy mogą także kontrolować trojana przy użyciu wiadomości SMS.

Po pierwszym uruchomieniu Obad gromadzi i wysyła do cyberprzestępcy następujące informacje dotyczące zaatakowanego urządzenia:

  • adres urządzenia Bluetooth,
  • nazwa operatora telekomunikacyjnego,
  • numer telefonu,
  • numer IMEI telefonu,
  • stan konta mobilnego,
  • lokalny czas.

Dodatkowo, szkodnik regularnie wysyła do cyberprzestępcy raporty ze swojej aktywności obejmujące listę numerów premium, pod które udało się wysłać SMS-y, oraz statystykę wykonanych zadań.

 



autor: Jan Petersen

Czytaj także

Polacy a bezpieczeństwo urządzeń mobilnych

Ostatnia aktualizacja: 15.05.2013 12:00
Aż 19,7 proc. respondentów biorących udział w badaniu przeprowadzonym na zlecenie firmy Trend Micro przechowuje hasła na smartfonach lub tabletach.
rozwiń zwiń
Czytaj także

Platforma Android: lider zagrożeń mobilnych

Ostatnia aktualizacja: 28.05.2013 08:27
W porównaniu z 4Q 2012, pierwszy kwartał 2013 to blisko 50-procentowy wzrost liczby szkodliwych aplikacji i wirusów atakujących systemy operacyjne smartfonów (ze 100 do 149). Spośród wszystkich zagrożeń wykrytych w ubiegłym kwartale przez F-Secure, 92 proc. powstało z myślą o Androidzie.
rozwiń zwiń
Czytaj także

Android jak Windows?

Ostatnia aktualizacja: 31.05.2013 00:00
Ekosystem złośliwego oprogramowania na Androida zaczyna przypominać ten, który otacza Windows, z wyspecjalizowanymi dostawcami świadczącymi usługi na rzecz grup przestępczych.
rozwiń zwiń