Nieznany trojan specjalizuje się w Androidzie
Od ponad trzech miesięcy analitycy z Kaspersky Lab badają trojana Obad.a, nowe szkodliwe oprogramowanie specjalizujące się w Androidzie.
Wyszło na jaw, że za trojanem kryje się nowa struktura, którą badacze po raz pierwszy udało się zidentyfikować. Po raz pierwszy w historii cyberprzestępczości trojan rozprzestrzenił się za pośrednictwem botnetów, najprawdopodobniej wspieranych przez grupy przestępcze. Identyfikacja ujawniła również, że program Obad.a dotyczy głównie krajów dawnego WNP (Wspólnoty Niepodległych Państw). Według sondaży około 83 procent wirusa zostało zidentyfikowanych w Rosji, Ukrainie, Białorusi, Uzbekistanie i Kazachstanie.
Wirus rozprzestrzenia się w specjalny sposób na trojana Trojan-SMS.AndroidOS.Opfake.a. z wirusem. Ta metoda podwójnej infekcji rozpoczyna się od wiadomości tekstowej, którą otrzymuje niczego niepodejrzewający użytkownik, w której program prosi o pobranie zawartości wiadomości. Kiedy ofiara klika odsyłacz, trojan o nazwie Opfake.a w pliku jest automatycznie pobierany na smartfon lub tablet.
Szkodliwy plik można zainstalować tylko wtedy, gdy użytkownik go uruchomi, po czym trojan wysyła dodatkowe wiadomości do wszystkich kontaktów użytkownika, infekując w ten sposób znacznie więcej smartfonów i tabletów. Kliknięcie odsyłacza w wiadomości tekstowej spowoduje rozpoczęcie pobierania trojana Obad.a, bardzo dobrze zorganizowanego systemu, o czym świadczy fakt, że rosyjski operator komórkowy poinformował, że w ciągu pięciu godzin zidentyfikowano ponad 600 zainfekowanych wiadomości.
Oprócz mobilnych botnetów ten wysoce złożony trojan jest również odpowiedzialny za niezliczone wiadomości spamowe, których jednym z głównych nośników jest trojan Obad.a. Zazwyczaj wiadomość ostrzega użytkownika, że ma „niespłacony dług” u jednego z dostawców usług, co działa jak przynęta na niczego niepodejrzewającego użytkownika, aby skorzystać z tego odsyłacza, automatycznie pobierając trojana Obad.a na swoje urządzenie mobilne, co jest aktywowany i zainstalowany po użyciu.
Ta fałszywa aplikacja dystrybuuje i tak już rozpowszechniony Backdoor.AndroidOS.Obad.a. również, który również kopiuje zawartość stron Google Play, zastępując oryginalny link zainfekowanym.
„W ciągu ostatnich trzech miesięcy zidentyfikowaliśmy 12 wersji Backdoor.AndroidOS.Obad.a. nazywany trojanem. Każdy z tych wirusów wykorzystywał te same funkcje i zaawansowane techniki rozmycia kodowania i podobnie atakował tylko urządzenia z systemem operacyjnym Android. Gdy tylko zidentyfikowaliśmy te złośliwe oprogramowanie, poinformowaliśmy Google, który oczywiście zamknął wszystkie luki w systemie Android 4.3. Niestety, niewiele nowych smartfonów i tabletów działa z tą nową wersją, co oznacza, że urządzenia działające na starszych systemach operacyjnych są nadal zagrożone.” Powiedział Roman Unuchek, czołowy ekspert ds. antywirusów w Kaspersky Lab.
