Android-Schädling Obad.a komplex wie PC-Malware

Die Sicherheitsexperten von Kaspersky Lab haben mit Obad.a zum ersten Mal einen mobilen Schädling beobachtet, der sich mit Hilfe fremder Botnetze verbreitet. Es sei der komplexeste Android-Schädling, den die Sicherheitsexperten bislang beobachten konnten.

Obad.a nutze laut Kaspersky Lab eine völlig neue Verbreitungstechnik. Im Verlauf der vergangenen drei Monate habe sich gezeigt, so Kasperky in einer Mitteilung, dass es sich wohl um die bisher komplexeste Malware für das Mobilbetriebssystem Android handelt. Kaspersky hatte bereits im Mai erste Hinweise auf den Schädling erhalten, damals aber noch nichts über die Verbreitungswege von Obad.a gewusst.

“Zum ersten Mal in der Geschichte der Cyberkriminalität rund um mobile Endgeräte nutzt ein Trojaner Botnetze, die von anderen kriminelle Gruppierungen kontrolliert werden”, teilt das Sicherheitsunternehmen mit. Derzeit verbreitet sich der Schädling zwar hauptsächlich in Russland und Osteuropa. Dennoch verdiene es dieser Schädling, auch hierzulande Beachtung zu finden.

Auffällig sei die Tatsache, dass sich der Schädling gleichzeitig in mehreren Versionen über den Trojaner SMS.AndroidOS.Opfake.a verbreite. Über eine SMS werde der Anwender dazu aufgefordert, einen Link zu klicken. Über den wird dann eine Datei mit dem Namen Opfake.a auf das betroffene Gerät geladen. Allerdings muss der Nutzer die Installation manuell starten. Dann sammelt der Schädling die Kontakte des Gerätes und versendet sich an diese.

Parallel dazu verbreitet sich der Schädling auch über Spam-Mails und über Webseiten, die angeblich Anwendungen vorhalten. Dazu scheinen die Hacker hinter dem Schädling auch legitime Seiten zu manipulieren, sodass diese auf bösartige Inhalte verlinken. Auch in diesen Fällen müssen Nutzer die Datei herunterladen und installieren.

Manipulierter Google-Play-Store. Auch für versierte Nutzer wie auch für Suchmaschinen ist laut Kaspersky hier kaum ein Unterschied zum Original festzustellen. Quelle: Kaspersky
Manipulierter Google-Play-Store. Auch für versierte Nutzer wie auch für Suchmaschinen ist laut Kaspersky hier kaum ein Unterschied zum Original festzustellen. Quelle: Kaspersky

“In den meisten Fällen fand eine Verbreitung über infizierte Geräte statt, typischerweise würde sich solch ein Schädling aber über ein SMS-Gateway verbreiten”, kommentiert Sicherheitsexperte Roman Unuchek in einem Blog. “Gleichzeitig waren aber nur wenige Geräte mit dem Trojan-SMS.AndroidOS.Opfake.a infiziert, so dass diese Links zu Backdoor.AndroidOS.Obad.a verschickten. Daher haben wir darauf geschlossen, dass die Schöpfer des gefährlichen Trojaners, wohl ein mobiles Botnet gemietet hatten, um ihre Entwicklung zu verbreiten.”

Für die Anmietung eines Botnetzes würde auch der sprunghafte Anstieg von Infektionsversuchen sprechen, den Kaspersky registrierte, so Unuchek weiter.  “Damit haben wir zum ersten Mal den Fall, dass ein mobiles Botnet dazu verwendet wird, nicht nur um den eigenen Schädling zu steuern, sondern auch um ihn zu verbreiten. Das zeigt, dass Cyberkriminelle auch weiterhin ihre Techniken für die Infizierung verfeinern. Die Bedrohung, die von Backdoor.AndroidOS.Obad.a ausgeht, ist sehr real.”

 

Diese Spitze belege laut Kaspersky, dass Kriminelle nun auch andere Botnetze nutzen, um ihre Schädlinge zu verbreiten. Quelle: Kaspersky Lab
Diese Spitze zeige laut Kaspersky, dass Kriminelle nun auch andere Botnetze nutzen, um ihre Schädlinge zu verbreiten. Für einen mobilen Schädling sei das ein absolutes Novum. Quelle: Kaspersky Lab

“In drei Monaten haben wir zwölf verschiedene Versionen von Backdoor.AndroidOS.Obad.a entdeckt. Alle hatten dieselbe Funktion und wiesen eine Code-Verschleierung in hohem Maße auf. Jede dieser Versionen nutzt Schwachstellen des Android-Betriebssystems, mit der das Schadprogramm Administratorrechte über das Gerät erhält”, Christian Funk, Senior Virus Analyst bei Kaspersky Lab.

Das mache es um einiges schwerer, den Schädling zu löschen. Google sei über Schwachstelle informiert worden und Google habe das Leck in Android 4.3 geschlossen. Allerdings verwenden nur wenige Smartphones und Tablet-PCs diese neue Version. Ältere Geräte mit früheren Android-Versionen sind somit weiterhin gefährdet.

“Obad.a beherbergt Exploit-Codes für insgesamt drei bislang unveröffentlichte Sicherheitslücken, und erinnert hinsichtlich der Komplexität und Vielseitigkeit stark an moderne PC Schadsoftware. Ein Trend, den wir in der Android Welt seit längerem beobachten und der jetzt seinen bisherigen Hochpunkt erreicht hat“, schließt Funk.

Eine umfassende erste Analyse des Schädlings hat Roman Unuchek veröffentlicht.

Zur Bundestagswahl: Was wissen Sie über Netzpolitik? Machen Sie den Test mit 15 Fragen auf silicon.de!