Android-Schädling Obad.a komplex wie PC-Malware

Obad.a nutze laut Kaspersky Lab eine völlig neue Verbreitungstechnik. Im Verlauf der vergangenen drei Monate habe sich gezeigt, so Kasperky in einer Mitteilung, dass es sich wohl um die bisher komplexeste Malware für das Mobilbetriebssystem Android handelt. Kaspersky hatte bereits im Mai erste Hinweise auf den Schädling erhalten, damals aber noch nichts über die Verbreitungswege von Obad.a gewusst.

“Zum ersten Mal in der Geschichte der Cyberkriminalität rund um mobile Endgeräte nutzt ein Trojaner Botnetze, die von anderen kriminelle Gruppierungen kontrolliert werden”, teilt das Sicherheitsunternehmen mit. Derzeit verbreitet sich der Schädling zwar hauptsächlich in Russland und Osteuropa. Dennoch verdiene es dieser Schädling, auch hierzulande Beachtung zu finden.

Auffällig sei die Tatsache, dass sich der Schädling gleichzeitig in mehreren Versionen über den Trojaner SMS.AndroidOS.Opfake.a verbreite. Über eine SMS werde der Anwender dazu aufgefordert, einen Link zu klicken. Über den wird dann eine Datei mit dem Namen Opfake.a auf das betroffene Gerät geladen. Allerdings muss der Nutzer die Installation manuell starten. Dann sammelt der Schädling die Kontakte des Gerätes und versendet sich an diese.

Parallel dazu verbreitet sich der Schädling auch über Spam-Mails und über Webseiten, die angeblich Anwendungen vorhalten. Dazu scheinen die Hacker hinter dem Schädling auch legitime Seiten zu manipulieren, sodass diese auf bösartige Inhalte verlinken. Auch in diesen Fällen müssen Nutzer die Datei herunterladen und installieren.

Manipulierter Google-Play-Store. Auch für versierte Nutzer wie auch für Suchmaschinen ist laut Kaspersky hier kaum ein Unterschied zum Original festzustellen. Quelle: Kaspersky

“In den meisten Fällen fand eine Verbreitung über infizierte Geräte statt, typischerweise würde sich solch ein Schädling aber über ein SMS-Gateway verbreiten”, kommentiert Sicherheitsexperte Roman Unuchek in einem Blog. “Gleichzeitig waren aber nur wenige Geräte mit dem Trojan-SMS.AndroidOS.Opfake.a infiziert, so dass diese Links zu Backdoor.AndroidOS.Obad.a verschickten. Daher haben wir darauf geschlossen, dass die Schöpfer des gefährlichen Trojaners, wohl ein mobiles Botnet gemietet hatten, um ihre Entwicklung zu verbreiten.”

Für die Anmietung eines Botnetzes würde auch der sprunghafte Anstieg von Infektionsversuchen sprechen, den Kaspersky registrierte, so Unuchek weiter.  “Damit haben wir zum ersten Mal den Fall, dass ein mobiles Botnet dazu verwendet wird, nicht nur um den eigenen Schädling zu steuern, sondern auch um ihn zu verbreiten. Das zeigt, dass Cyberkriminelle auch weiterhin ihre Techniken für die Infizierung verfeinern. Die Bedrohung, die von Backdoor.AndroidOS.Obad.a ausgeht, ist sehr real.”

Diese Spitze zeige laut Kaspersky, dass Kriminelle nun auch andere Botnetze nutzen, um ihre Schädlinge zu verbreiten. Für einen mobilen Schädling sei das ein absolutes Novum. Quelle: Kaspersky Lab

“In drei Monaten haben wir zwölf verschiedene Versionen von Backdoor.AndroidOS.Obad.a entdeckt. Alle hatten dieselbe Funktion und wiesen eine Code-Verschleierung in hohem Maße auf. Jede dieser Versionen nutzt Schwachstellen des Android-Betriebssystems, mit der das Schadprogramm Administratorrechte über das Gerät erhält”, Christian Funk, Senior Virus Analyst bei Kaspersky Lab.

Das mache es um einiges schwerer, den Schädling zu löschen. Google sei über Schwachstelle informiert worden und Google habe das Leck in Android 4.3 geschlossen. Allerdings verwenden nur wenige Smartphones und Tablet-PCs diese neue Version. Ältere Geräte mit früheren Android-Versionen sind somit weiterhin gefährdet.

“Obad.a beherbergt Exploit-Codes für insgesamt drei bislang unveröffentlichte Sicherheitslücken, und erinnert hinsichtlich der Komplexität und Vielseitigkeit stark an moderne PC Schadsoftware. Ein Trend, den wir in der Android Welt seit längerem beobachten und der jetzt seinen bisherigen Hochpunkt erreicht hat“, schließt Funk.

Eine umfassende erste Analyse des Schädlings hat Roman Unuchek veröffentlicht.

Zur Bundestagswahl: Was wissen Sie über Netzpolitik? Machen Sie den Test mit 15 Fragen auf silicon.de!

Redaktion

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

15 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

16 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

1 Tag ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

3 Tagen ago