Während Apples iOS derzeit noch weitestgehend von irgendeiner Art Virus verschont bleibt, hat es in der Vergangenheit des Öfteren erwischt. Wie das Software-Unternehmen nun mitgeteilt hat, ist der momentan im Umlauf befindliche „Backdoor.AndroidOS.Obad.a“ der komplexeste mobile Multifunktionstrojaner für Android. Grund hierfür sind mehrere Funktionen des Schädlings.

Kaspersky Lab hat komplexesten mobilen Android-Trojaner der Welt entdeckt

Wie Kaspersky Lab mitteilte, ist es dem möglich, Beispiel-SMSen an Premiumnummern zu schicken, sich via Bluetooth zu vermehren und weitere Malware aus dem Internet zu laden. Darüber hinaus kann er dank einer Anbindung an den Command-and-Controll-Server (C&C) androfox.com Geräteinformationen und Nutzerdaten stehlen.

Kaspersky Lab identifiziert den Multifunktionstrojaner-Schädling als „Backdoor.AndroidOS.Obad.a“. Die folgenden Merkmale sind neben den oben aufgeführten bemerkenswert:

  • Die Malware-Entwickler nutzten Fehler in der beliebten Software DEX2JAR sowie im Android-Betriebssystem, um die Entdeckung des Trojaners zu erschweren. „Obad.a“ besitzt kein Interface und agiert im Hintergrund.
  • Die bei der Malware verwendeten Zeichenketten sind alle verschlüsselt. Bei Programmstart wird eine weitere Dechiffrierungsroutine gestartet. Dies erschwert eine dynamische Analyse erheblich.
  • Der Trojaner nutzt eine Zero-Day-Schwachstelle in Android, um an die Administratorenrechte zu gelangen. Damit kann „Obad.a“ nicht mehr vom Gerät gelöscht werden. Über die erweiterten Administratorenrechte kann der Schädling den Bildschirm des infizierten Geräts für bis zu zehn Sekunden blockieren. Dies geschieht, wenn das Smartphone mit einem freien WLAN-Netzwerk verbunden oder Bluetooth aktiviert ist. Steht eine Verbindung zur Verfügung, kann der Trojaner sich selbst und weitere Schadprogramme auf andere Geräte kopieren, die sich in der Nähe befinden.
  • Der Trojaner nutzt eine Zero-Day-Schwachstelle in Android, um an die Administratorenrechte zu gelangen. Damit kann „Obad.a“ nicht mehr vom Gerät gelöscht werden. Über die erweiterten Administratorenrechte kann der Schädling den Bildschirm des infizierten Geräts für bis zu zehn Sekunden blockieren. Dies geschieht, wenn das Smartphone mit einem freien WLAN-Netzwerk verbunden oder Bluetooth aktiviert ist. Steht eine Verbindung zur Verfügung, kann der Trojaner sich selbst und weitere Schadprogramme auf andere Geräte kopieren, die sich in der Nähe befinden.
  • Der mobile Trojaner steht in Kontakt mit einer Kommandozentrale, einem Command-and-Control-Server (C&C). Er ist in der Lage, folgende Informationen verschlüsselt an seinen C&C-Server (Androfox.com) zuschicken: die MAC-Adresse des Bluetooth-Geräts, den Namen des Betreibers, die Telefonnummer, die IMEI-Nummer, das Konto-Guthaben des Nutzers und die Ortszeit. Zudem verschickt er eine Information, ob Administratorenrechte erfolgreich erlangt werden konnten.
  • Durch die Verbindung mit einem C&C-Server kann der Trojaner daneben Textnachrichten versenden, Remote-Shell-Befehle ausführen, als Proxy agieren, Verbindungen mit bestimmten Adressen aufbauen, Dateien vom Server herunterladen und installieren, eine Liste der verwendeten Applikationen und Nutzerkontaktdaten an den Server sowie Dateien an alle entdeckten Bluetooth-Geräte schicken.
  • Der mobile Trojaner steht in Kontakt mit einer Kommandozentrale, einem Command-and-Control-Server (C&C). Er ist in der Lage, folgende Informationen verschlüsselt an seinen C&C-Server (Androfox.com) zuschicken: die MAC-Adresse des Bluetooth-Geräts, den Namen des Betreibers, die Telefonnummer, die IMEI-Nummer, das Konto-Guthaben des Nutzers und die Ortszeit. Zudem verschickt er eine Information, ob Administratorenrechte erfolgreich erlangt werden konnten.

Weiter heißt es, dass momentan 91.000 einzelne Varianten und mehr als 600 Familien von Schädlingen für mobile Devices entdeckt wurden. Erstaunlich ist allerdings, dass kaut Kaspersky Lab 99 Prozent der für Android konzipiert wurde.

via, via