1780782

Android-Malware nutzt Zero-Day-Lücke

10.06.2013 | 13:35 Uhr |

Ein besonders hartnäckiger Trojaner nutzt Zero-Day-Lücken von Android und verschickt teure Premium-SMS. Doch das ist nicht der einzige Schaden, den er anrichten kann.

Kaspersky hat den Android-Trojaner „Obad.a“ untersucht, der als der derzeit komplexeste mobile Schädling gilt. Das Schadprogramm nutzt eine ganze Reihe von unveröffentlichten Schwachstellen. Die Malware erinnert dabei eher an einen Windows-basierten Virus als an andere derzeit eingesetzte mobile Schädlinge. Ist der Trojaner auf einem Smartphone installiert, kann zum Beispiel den SMS-Versand an Premiumnummern vornehmen, Download und Installation weiterer Malware auf dem infizierten Gerät nachholen sowie das Weiterleiten dieser Schädlinge via Bluetooth übernehmen. Darüber hinaus steht der Trojaner mit dem Command-and-Control-Server (C&C) androfox.com in Verbindung und kann dadurch Geräteinformationen und Nutzerdaten stehlen sowie aus der Ferne Befehle entgegen nehmen.

Funktionen von "Obad.a":

  • Die Malware-Entwickler nutzten Fehler in der Software DEX2JAR sowie im Android-Betriebssystem, um die Entdeckung des Trojaners zu erschweren. „Obad.a“ besitzt kein Interface und agiert im Hintergrund.

  • Die bei der Malware verwendeten Zeichenketten sind verschlüsselt.

  • Bei Programmstart wird eine weitere Dechiffrierungsroutine gestartet, was eine dynamische Analyse erschwert.

  • Der Trojaner nutzt eine Zero-Day-Schwachstelle in Android, um an die Administratorenrechte zu gelangen. Damit kann „Obad.a“ nicht mehr vom Gerät gelöscht werden. Über die erweiterten Administratorenrechte kann der Schädling den Bildschirm des infizierten Geräts für bis zu zehn Sekunden blockieren. Dies geschieht, wenn das Smartphone mit einem freien WLAN-Netzwerk verbunden oder Bluetooth aktiviert ist. Steht eine Verbindung zur Verfügung, kann der Trojaner sich selbst und weitere Schadprogramme auf andere Geräte kopieren, die sich in der Nähe befinden.

  • Der mobile Trojaner steht in Kontakt mit einem Command-and-Control-Server (C&C). Er ist in der Lage, folgende Informationen verschlüsselt an seinen C&C-Server (Androfox.com) zu schicken: die MAC-Adresse des Bluetooth-Geräts, den Namen des Betreibers, die Telefonnummer, die IMEI-Nummer, das Konto-Guthaben des Nutzers und die Ortszeit. Zudem verschickt er eine Information, ob Administratorenrechte erfolgreich erlangt werden konnten.

  • Durch die Verbindung mit einem C&C-Server kann der Trojaner daneben Textnachrichten versenden, Remote-Shell-Befehle ausführen, als Proxy agieren, Verbindungen mit bestimmten Adressen aufbauen, Dateien vom Server herunterladen und installieren, eine Liste der verwendeten Applikationen und Nutzerkontaktdaten an den Server sowie Dateien an alle entdeckten Bluetooth-Geräte schicken.

0 Kommentare zu diesem Artikel
1780782