Mobiler Multifunktionstrojaner stiehlt Daten, lädt weitere Malware nach, führt Befehle aus der Ferne aus und verbreitet sich selbst

Moskau/Ingolstadt, 10. Juni 2013 - Kaspersky Lab hat einen Android-Trojaner untersucht [1], der als der derzeit komplexeste mobile Schädling gilt - „Obad.a". Das Schadprogramm ist auch deswegen so einzigartig, da es neben seinem anspruchsvollen Aufbau eine Reihe von unveröffentlichten Schwachstellen ausnutzt. Die mobile Malware erinnert daher mehr an einen Windows-basierten als an derzeit eingesetzte mobile Schädlinge und zeigt: nicht nur die Anzahl mobiler Malware steigt, sondern auch deren Qualität. Ist der mobile Trojaner auf einem Smartphone, kann er mehrere Funktionen ausüben, wie zum Beispiel SMS-Versand an Premiumnummern, Download und Installation weiterer Malware auf dem infizierten Gerät sowie das Weiterleiten dieser Schädlinge via Bluetooth. Darüber hinaus steht der Trojaner mit dem Command-and-Control-Server (C&C) androfox.com in Verbindung und kann dadurch Geräteinformationen und Nutzerdaten stehlen sowie aus der Ferne Befehle entgegen nehmen.

Kaspersky Lab identifiziert den Multifunktionstrojaner-Schädling als „Backdoor.AndroidOS.Obad.a". Die folgenden Merkmale sind neben den oben aufgeführten bemerkenswert:

• Die Malware-Entwickler nutzten Fehler in der beliebten Software DEX2JAR sowie im Android-Betriebssystem, um die Entdeckung des Trojaners zu erschweren. „Obad.a" besitzt kein Interface und agiert im Hintergrund.
• Die bei der Malware verwendeten Zeichenketten sind alle verschlüsselt.

Bei Programmstart wird eine weitere Dechiffrierungsroutine gestartet.

Dies erschwert eine dynamische Analyse erheblich.

• Der Trojaner nutzt eine Zero-Day-Schwachstelle in Android, um an die Administratorenrechte zu gelangen. Damit kann „Obad.a" nicht mehr vom Gerät gelöscht werden. Über die erweiterten Administratorenrechte kann der Schädling den Bildschirm des infizierten Geräts für bis zu zehn Sekunden blockieren. Dies geschieht, wenn das Smartphone mit einem freien WLAN-Netzwerk verbunden oder Bluetooth aktiviert ist. Steht eine Verbindung zur Verfügung, kann der Trojaner sich selbst und weitere Schadprogramme auf andere Geräte kopieren, die sich in der Nähe befinden.
• Der mobile Trojaner steht in Kontakt mit einer Kommandozentrale, einem Command-and-Control-Server (C&C). Er ist in der Lage, folgende Informationen verschlüsselt an seinen C&C-Server (Androfox.com) zu

schicken: die MAC-Adresse des Bluetooth-Geräts, den Namen des Betreibers, die Telefonnummer, die IMEI-Nummer, das Konto-Guthaben des Nutzers und die Ortszeit. Zudem verschickt er eine Information, ob Administratorenrechte erfolgreich erlangt werden konnten.

• Durch die Verbindung mit einem C&C-Server kann der Trojaner daneben Textnachrichten versenden, Remote-Shell-Befehle ausführen, als Proxy agieren, Verbindungen mit bestimmten Adressen aufbauen, Dateien vom Server herunterladen und installieren, eine Liste der verwendeten Applikationen und Nutzerkontaktdaten an den Server sowie Dateien an alle entdeckten Bluetooth-Geräte schicken.

Aktuell kennt Kaspersky Lab über 91.000 einzelne Varianten und 604 Familien mobiler Schädlinge. Über 99 Prozent der heutigen mobilen Schadprogramme haben es auf Android abgesehen.

Quelle