Obad - najbardziej zaawansowany znany trojan dla Androida

Eksperci z Kaspersky Lab wykryli nowego trojana atakuj膮cego urz膮dzenia mobilne z systemem Android. Szkodliwy program o nazwie "Obad" wykorzystuje bardzo zaawansowane metody ukrywania si臋 oraz unikania analizy i pozwala cyberprzest臋pcom na zmuszenie zainfekowanego smartfona do wysy艂ania SMS-贸w na numery premium, pobieranie innych niebezpiecznych aplikacji, infekowanie kolejnych telefon贸w przez Bluetooth i wykonywanie szeregu zdalnych polece艅 cyberprzest臋pc贸w.

Niedawno eksperci z Kaspersky Lab otrzymali do analizy aplikacj臋 dla systemu Android, kt贸ra wzbudzi艂a ich podejrzenia ju偶 w pierwszej chwili - kod programu by艂 mocno zaszyfrowany, a wiele z jego procedur wykorzystywa艂o bardzo skuteczne metody ukrywania si臋 przed analiz膮. Wykorzystanie takich mechanizm贸w w programach przeznaczonych dla komputer贸w nie jest niczym nowym, jednak w przypadku aplikacji mobilnych jest to bardzo nietypowe. Po dokonaniu szczeg贸艂owej analizy okaza艂o si臋, 偶e aplikacja jest w rzeczywisto艣ci wielofunkcyjnym, skomplikowanym trojanem, wykrywanym obecnie przez rozwi膮zania Kaspersky Lab jako Backdoor.AndroidOS.Obad.a.

B艂臋dy w Androidzie wykorzystywane przez Obada

Tw贸rcy Obada wykorzystali nieznany dotychczas b艂膮d w systemie Android pozwalaj膮cy szkodliwej aplikacji na uzyskanie uprawnie艅 administracyjnych bez pojawiania si臋 na li艣cie zainstalowanych program贸w, kt贸re dysponuj膮 takimi przywilejami. W rezultacie, gdy Obad zainfekuje urz膮dzenie, jego usuni臋cie nie jest mo偶liwe przy u偶yciu konwencjonalnych metod systemowych.

Cyberprzest臋pcy wykryli tak偶e drugi b艂膮d w Androidzie, zwi膮zany z przetwarzaniem pliku AndroidManifest.xml. Plik ten jest obecny we wszystkich aplikacjach dla Androida i stosuje si臋 go do opisywania struktury program贸w oraz definiowania ich parametr贸w. Obad modyfikuje plik AndroidManifest.xml w spos贸b, kt贸ry sprawia, 偶e nie jest on zgodny ze standardami Google'a, jednak w dalszym ci膮gu jest poprawnie przetwarzany przez system.

Eksperci z Kaspersky Lab poinformowali ju偶 firm臋 Google o nieznanych dotychczas b艂臋dach w Androidzie wykorzystanych przez tw贸rc贸w trojana Obad.

Jak zachowuje si臋 zainfekowany smartfon

U偶ytkownik zainfekowanego smartfona ma niewielkie szanse na zauwa偶enie szkodliwej aktywno艣ci, poniewa偶 Obad nie posiada 偶adnego interfejsu i dzia艂a w tle. Symptomem infekcji mo偶e by膰 blokowanie ekranu telefonu na oko艂o 10 sekund, gdy u偶ytkownik aktywuje modu艂 Bluetooth lub pod艂膮cza si臋 do otwartej sieci Wi-Fi. W trakcie tej pozornej bezczynno艣ci trojan pr贸buje atakowa膰 wszystkie urz膮dzenia znajduj膮ce si臋 w zasi臋gu zainfekowanego smartfona.

Dodatkow膮 oznak膮 infekcji mo偶e by膰 komunikat o niepowodzeniu w uzyskaniu uprawnie艅 administratora.


Komunikat 艣wiadcz膮cy o niepowodzeniu w uzyskaniu przez trojana uprawnie艅 administracyjnych


Co trojan robi na zainfekowanym smartfonie

Po uzyskaniu uprawnie艅 administracyjnych trojan natychmiast informuje o tym cyberprzest臋pc臋, wysy艂aj膮c odpowiedni komunikat na specjalny serwer. Od tego momentu atakuj膮cy mo偶e zdalnie wykonywa膰 szereg polece艅 bez wiedzy i zgody u偶ytkownika zainfekowanego smartfona. Poza wykorzystaniem serwera, cyberprzest臋pcy mog膮 tak偶e kontrolowa膰 trojana przy u偶yciu wiadomo艣ci SMS.

Po pierwszym uruchomieniu Obad gromadzi i wysy艂a do cyberprzest臋pcy nast臋puj膮ce informacje dotycz膮ce zaatakowanego urz膮dzenia:

  • adres urz膮dzenia Bluetooth,
  • nazwa operatora telekomunikacyjnego,
  • numer telefonu,
  • numer IMEI telefonu,
  • stan konta mobilnego,
  • lokalny czas.
Dodatkowo, szkodnik regularnie wysy艂a do cyberprzest臋pcy raporty ze swojej aktywno艣ci obejmuj膮ce list臋 numer贸w premium, pod kt贸re uda艂o si臋 wys艂a膰 SMS-y, oraz statystyk臋 wykonanych zada艅.

"Na chwil臋 obecn膮 trojan Obad nie jest szeroko rozprzestrzeniony, nie mo偶na jednak bagatelizowa膰 tego zagro偶enia ze wzgl臋du na stopie艅 zaawansowania", komentuje Roman Uchunek, ekspert z Kaspersky Lab. "Obad przypomina bardziej trojana dla systemu Windows ni偶 typow膮, "prost膮" szkodliw膮 aplikacj臋 dla Androida. Obad po raz kolejny uzmys艂awia nam, 偶e cyberprzest臋pcy bardzo powa偶nie podchodz膮 do tworzenia szkodliwych program贸w dla platform mobilnych".

Szczeg贸艂owy opis techniczny trojana Backdoor.AndroidOS.Obad.a jest dost臋pny w serwisie SecureList.pl prowadzonym przez Kaspersky Lab: http://www.securelist.pl/blog/7225,najbardziej_zaawansowany_trojan_dla_androida.html.

殴ród艂o:
Kaspersky Lab