Mobiele Trojan voor het eerst verspreid via ‘alien’ botnets

05 sep 2013
Virus News

De afgelopen drie maanden hebben analisten van Kaspersky Lab onderzoek verricht naar de verspreiding van de Obad.a Trojan, een kwaadaardige app voor Android-toestellen. Naar nu blijkt hebben de criminelen achter deze Trojan een nieuwe techniek gebruikt om hun malware te verspreiden. Voor het eerst in de geschiedenis van mobiele cybercriminaliteit is een Trojan verspreid met behulp van botnets die worden aangestuurd door andere criminele groeperingen. Ook werd duidelijk dat Obad.a vooral wordt aangetroffen in de GOS-landen. In totaal werd 83% van de pogingen tot infectie geregistreerd in Rusland. Tevens werd de Trojan ook aangetroffen op mobiele apparaten in de Oekraïne, Wit-Rusland, Oezbekistan en Kazachstan.

Verschillende versies van Obad.a werden verspreid in combinatie met Trojan-SMS.AndroidOS.Opfake.a. Deze dubbele infectiepoging begint met een sms-bericht naar gebruikers, waarin hen dringend wordt aangeraden een eerder ontvangen sms-bericht te downloaden via een link. Als het slachtoffer op de link klikt, wordt automatisch een bestand met daarin Opfake.a gedownload naar de smartphone of tablet.

Het kwaadaardige bestand Opfake.a kan alleen worden geïnstalleerd als de gebruiker het daadwerkelijk start. Als dat gebeurt, stuurt de Trojan berichten naar alle contacten op het besmette apparaat. Ontvangers van deze besmette berichten downloaden nu Obad.a als zij op de link klikken. Het is een goed georganiseerd systeem: een Russische mobiele netwerkprovider rapporteerde in 5 uur tijd meer dan 600 berichten met deze links, wat wijst op massadistributie. In de meeste gevallen werd de malware verspreid met behulp van reeds besmette apparaten.

Behalve met behulp van mobiele botnets wordt de zeer complexe Obad.a Trojan ook gedistribueerd via spamberichten. De gebruiker ontvangt een bericht met een waarschuwing over een onbetaalde schuld en zo wordt geprobeerd het slachtoffer over te halen om op een link te klikken die automatisch Obad.a downloadt naar het mobiele apparaat. Gebruikers moeten echter nog steeds het gedownloade bestand uitvoeren om de Trojan te installeren.

Ook nep-applicatiewinkels verspreiden Backdoor.AndroidOS.Obad.a. Ze kopiëren de inhoud van Google Play-pagina's, waarbij ze legitieme links vervangen door kwaadaardige. Waar legitieme sites worden gekraakt en gebruikers worden omgeleid naar gevaarlijke sites, richt Obad.a zich exclusief op mobiele gebruikers. Hoewel Android-gebruikers nu direct risico lopen, kunnen ook smartphones en tablets met andere besturingssystemen worden doorgestuurd naar die nep-websites. Potentiële slachtoffers die de site bezoeken vanaf een pc lopen geen gevaar.

"In drie maanden tijd ontdekten we twaalf versies van Backdoor.AndroidOS.Obad.a, alle met dezelfde functieset en een hoog niveau van codevertroebeling. Elk maakte bovendien gebruik van een zwakke plek in Android OS die de malware DeviceAdministrator-rechten geeft en het veel lastiger maakt de malware te verwijderen. Zodra we dit ontdekten, informeerden we Google en werd dit lek in Android 4.3 gedicht. Slechts enkele nieuwe smartphones en tablets draaien deze versie echter al, dus oudere apparaten met eerdere versies zijn nog steeds kwetsbaar. Obad.a, dat een groot aantal niet-gepubliceerde kwetsbaarheden gebruikt, lijkt meer op Windows malware dan andere Trojans voor Android", zegt Roman Unuchek, toonaangevend antivirusexpert bij Kaspersky Lab.

Meer informatie over de verspreiding van Obad.a is te lezen op securelist.com.