Android-Schädling Obad.a komplex wie PC-Malware

Obad.a nutze laut Kaspersky Lab eine völlig neue Verbreitungstechnik. Im Verlauf der vergangenen drei Monate habe sich gezeigt, so Kasperky in einer Mitteilung, dass es sich wohl um die bisher komplexeste Malware für das Mobilbetriebssystem Android handelt. Kaspersky hatte bereits im Mai erste Hinweise auf den Schädling erhalten, damals aber noch nichts über die Verbreitungswege von Obad.a gewusst.

“Zum ersten Mal in der Geschichte der Cyberkriminalität rund um mobile Endgeräte nutzt ein Trojaner Botnetze, die von anderen kriminelle Gruppierungen kontrolliert werden”, teilt das Sicherheitsunternehmen mit. Derzeit verbreitet sich der Schädling zwar hauptsächlich in Russland und Osteuropa. Dennoch verdiene es dieser Schädling, auch hierzulande Beachtung zu finden.

Auffällig sei die Tatsache, dass sich der Schädling gleichzeitig in mehreren Versionen über den Trojaner SMS.AndroidOS.Opfake.a verbreite. Über eine SMS werde der Anwender dazu aufgefordert, einen Link zu klicken. Über den wird dann eine Datei mit dem Namen Opfake.a auf das betroffene Gerät geladen. Allerdings muss der Nutzer die Installation manuell starten. Dann sammelt der Schädling die Kontakte des Gerätes und versendet sich an diese.

Parallel dazu verbreitet sich der Schädling auch über Spam-Mails und über Webseiten, die angeblich Anwendungen vorhalten. Dazu scheinen die Hacker hinter dem Schädling auch legitime Seiten zu manipulieren, sodass diese auf bösartige Inhalte verlinken. Auch in diesen Fällen müssen Nutzer die Datei herunterladen und installieren.

Manipulierter Google-Play-Store. Auch für versierte Nutzer wie auch für Suchmaschinen ist laut Kaspersky hier kaum ein Unterschied zum Original festzustellen. Quelle: Kaspersky

“In den meisten Fällen fand eine Verbreitung über infizierte Geräte statt, typischerweise würde sich solch ein Schädling aber über ein SMS-Gateway verbreiten”, kommentiert Sicherheitsexperte Roman Unuchek in einem Blog. “Gleichzeitig waren aber nur wenige Geräte mit dem Trojan-SMS.AndroidOS.Opfake.a infiziert, so dass diese Links zu Backdoor.AndroidOS.Obad.a verschickten. Daher haben wir darauf geschlossen, dass die Schöpfer des gefährlichen Trojaners, wohl ein mobiles Botnet gemietet hatten, um ihre Entwicklung zu verbreiten.”

Für die Anmietung eines Botnetzes würde auch der sprunghafte Anstieg von Infektionsversuchen sprechen, den Kaspersky registrierte, so Unuchek weiter.  “Damit haben wir zum ersten Mal den Fall, dass ein mobiles Botnet dazu verwendet wird, nicht nur um den eigenen Schädling zu steuern, sondern auch um ihn zu verbreiten. Das zeigt, dass Cyberkriminelle auch weiterhin ihre Techniken für die Infizierung verfeinern. Die Bedrohung, die von Backdoor.AndroidOS.Obad.a ausgeht, ist sehr real.”

Diese Spitze zeige laut Kaspersky, dass Kriminelle nun auch andere Botnetze nutzen, um ihre Schädlinge zu verbreiten. Für einen mobilen Schädling sei das ein absolutes Novum. Quelle: Kaspersky Lab

“In drei Monaten haben wir zwölf verschiedene Versionen von Backdoor.AndroidOS.Obad.a entdeckt. Alle hatten dieselbe Funktion und wiesen eine Code-Verschleierung in hohem Maße auf. Jede dieser Versionen nutzt Schwachstellen des Android-Betriebssystems, mit der das Schadprogramm Administratorrechte über das Gerät erhält”, Christian Funk, Senior Virus Analyst bei Kaspersky Lab.

Das mache es um einiges schwerer, den Schädling zu löschen. Google sei über Schwachstelle informiert worden und Google habe das Leck in Android 4.3 geschlossen. Allerdings verwenden nur wenige Smartphones und Tablet-PCs diese neue Version. Ältere Geräte mit früheren Android-Versionen sind somit weiterhin gefährdet.

“Obad.a beherbergt Exploit-Codes für insgesamt drei bislang unveröffentlichte Sicherheitslücken, und erinnert hinsichtlich der Komplexität und Vielseitigkeit stark an moderne PC Schadsoftware. Ein Trend, den wir in der Android Welt seit längerem beobachten und der jetzt seinen bisherigen Hochpunkt erreicht hat“, schließt Funk.

Eine umfassende erste Analyse des Schädlings hat Roman Unuchek veröffentlicht.

Zur Bundestagswahl: Was wissen Sie über Netzpolitik? Machen Sie den Test mit 15 Fragen auf silicon.de!

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago