BezpieczeństwoObad: najbardziej zaawansowany trojan dla Androida > redakcja Opublikowane 8 czerwca 20130 0 120 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Szkodliwy program o nazwie ‘Obad’ wykorzystuje bardzo zaawansowane metody ukrywania się oraz unikania analizy i pozwala cyberprzestępcom na zmuszenie zainfekowanego smartfona do wysyłania SMS-ów na numery premium, pobieranie innych niebezpiecznych aplikacji, infekowanie kolejnych telefonów przez Bluetooth i wykonywanie szeregu zdalnych poleceń cyberprzestępców.Niedawno eksperci z Kaspersky Lab otrzymali do analizy aplikację dla systemu Android, która wzbudziła ich podejrzenia już w pierwszej chwili – kod programu był mocno zaszyfrowany, a wiele z jego procedur wykorzystywało bardzo skuteczne metody ukrywania się przed analizą. Wykorzystanie takich mechanizmów w programach przeznaczonych dla komputerów nie jest niczym nowym, jednak w przypadku aplikacji mobilnych jest to bardzo nietypowe. Po dokonaniu szczegółowej analizy okazało się, że aplikacja jest w rzeczywistości wielofunkcyjnym, skomplikowanym trojanem, wykrywanym obecnie przez rozwiązania Kaspersky Lab jako Backdoor.AndroidOS.Obad.a. Błędy w Androidzie wykorzystywane przez ObadaTwórcy Obada wykorzystali nieznany dotychczas błąd w systemie Android pozwalający szkodliwej aplikacji na uzyskanie uprawnień administracyjnych bez pojawiania się na liście zainstalowanych programów, które dysponują takimi przywilejami. W rezultacie, gdy Obad zainfekuje urządzenie, jego usunięcie nie jest możliwe przy użyciu konwencjonalnych metod systemowych.Cyberprzestępcy wykryli także drugi błąd w Androidzie, związany z przetwarzaniem pliku AndroidManifest.xml. Plik ten jest obecny we wszystkich aplikacjach dla Androida i stosuje się go do opisywania struktury programów oraz definiowania ich parametrów. Obad modyfikuje plik AndroidManifest.xml w sposób, który sprawia, że nie jest on zgodny ze standardami Google’a, jednak w dalszym ciągu jest poprawnie przetwarzany przez system.Eksperci z Kaspersky Lab poinformowali już firmę Google o nieznanych dotychczas błędach w Androidzie wykorzystanych przez twórców trojana Obad.Jak zachowuje się zainfekowany smartfonUżytkownik zainfekowanego smartfona ma niewielkie szanse na zauważenie szkodliwej aktywności, ponieważ Obad nie posiada żadnego interfejsu i działa w tle. Symptomem infekcji może być blokowanie ekranu telefonu na około 10 sekund, gdy użytkownik aktywuje moduł Bluetooth lub podłącza się do otwartej sieci Wi-Fi. W trakcie tej pozornej bezczynności trojan próbuje atakować wszystkie urządzenia znajdujące się w zasięgu zainfekowanego smartfona.Dodatkową oznaką infekcji może być komunikat o niepowodzeniu w uzyskaniu uprawnień administratora.Komunikat świadczący o niepowodzeniu w uzyskaniu przez trojana uprawnień administracyjnychCo trojan robi na zainfekowanym smartfoniePo uzyskaniu uprawnień administracyjnych trojan natychmiast informuje o tym cyberprzestępcę, wysyłając odpowiedni komunikat na specjalny serwer. Od tego momentu atakujący może zdalnie wykonywać szereg poleceń bez wiedzy i zgody użytkownika zainfekowanego smartfona. Poza wykorzystaniem serwera, cyberprzestępcy mogą także kontrolować trojana przy użyciu wiadomości SMS.Po pierwszym uruchomieniu Obad gromadzi i wysyła do cyberprzestępcy następujące informacje dotyczące zaatakowanego urządzenia:adres urządzenia Bluetooth,nazwa operatora telekomunikacyjnego,numer telefonu,numer IMEI telefonu,stan konta mobilnego,lokalny czas.Dodatkowo, szkodnik regularnie wysyła do cyberprzestępcy raporty ze swojej aktywności obejmujące listę numerów premium, pod które udało się wysłać SMS-y, oraz statystykę wykonanych zadań.
