Mobile Trojanere spreder sig for første gang nogensinde via ”alien” botnets

23 sep 2013
Press Releases

Kaspersky Labs eksperter har gennem de seneste tre måneder efterforsket, hvordan den skadelige Android-app Obad.a Trojan er blevet distribueret. Det tyder på, at de cyberkriminelle bag Trojanen har indført en helt ny teknik til at sprede deres malware. For første gang nogensinde er en mobil Trojan spredt via botnets, som bliver kontrolleret af andre kriminelle grupper.

I den mest interessante distributionsmodel blev Obad.a spredt med Trojan-SMS.AndroidOS.Opfake.a. Dette forsøg på en dobbeltinficering begynder med en sms-besked, som opfordrer til at hente en nyligt modtaget meddelelse. Hvis ofret følger linket, vil en fil med Opfake.a automatisk blive downloadet til smartphonen eller tabletten.

Den skadelige fil kan kun installeres, hvis brugeren åbner den. Hvis filen bliver åbnet, sender Trojanen beskeder videre til alle kontakter i den inficerede enhed. Når der klikkes på linket i disse beskeder, vil Obad.a. blive downloadet. Et russisk teleselskab opfangede på få timer mere end 600 beskeder med det farlige link, hvilket vidner om, at der er tale om massedistribution.

Udover at denne yderst avancerede mobile Trojan benytter sig af botnets, så distribueres den gennem spam-meddelelser. Dette foregår typisk ved at brugeren får en besked om, at han har ubetalt gæld, hvilket skal få ham til at klikke på et link, som downloader Obad.a Her gælder den samme procedure, hvor brugeren aktivt skal åbne filen, før
Trojanen installeres.

Falske app-butikker bruges desuden til at sprede Backdoor.AndroidOS.Obad.a. Her kopieres indholdet fra Google Play, men de sikre links erstattes med ondsindede. Denne metode bruges i forbindelse med Obad.a kun mod mobile enheder – hvis linket åbnes på en computer, vil intet ske.

”På tre måneder opdagede vi 12 forskellige versioner af Backdoor.AndroidOS.Obad.a. Alle versioner var indstillet til det samme og udnyttede en svaghed i Android OS til at give programmet administratorrettigheder, hvilket gør det meget sværere at slette. Vi kontaktede Google, så snart vi opdagede det, og hullet er nu blevet lukket i Android 4.3.
Det er kun få af de nye smartphones, som kører med denne opdaterede version, og der er derfor stadig mange enheder, som er i fare. Obad.a anvender en lang række sårbarheder, som endnu ikke er offentligt kendte, og Trojanen minder på mange områder mere om en Windows-malware end om andre Trojaner rettet mod Androids,” siger Roman Unuchek, antivirus-ekspert i Kaspersky Lab.

Du kan læse mere om distributionen af Obad.a på securelist.com.

Copyright © 1997 - 2014 Kaspersky Lab.

Alle rettigheder forbeholdes. Branchens førende antivirussoftware.