Aktuelles, Branche - geschrieben von cp am Donnerstag, September 5, 2013 17:34 - noch keine Kommentare
„Obad.a“: Android-Schädling nutzt bisher nie dagewesene Verbreitungs-Techniken
Kaspersky Lab beobachtet en ersten Fall eines mobilen Schadprograms, das über fremde Botnetze verbreitet wird
[datensicherheit.de, 05.09.2013] Im Laufe der letzten drei Monate hat Kaspersky Lab beobachtet, wie der „Obad.a“-Trojaner, der bisher komplexeste mobile Android-Schädling, verbreitet wird. Zum ersten Mal in der Geschichte der Cyberkriminalität rund um mobile Endgeräte nutzt ein Trojaner Botnetze, die von anderen kriminelle Gruppierungen kontrolliert werden. Insgesamt wurden 83 Prozent der Infektionsversuche in Russland verzeichnet. „Obad.a“ kommt wohl hauptsächlich in den GUS-Staaten vor. Darüber hinaus wurde er auch auf mobilen Endgeräten in der Ukraine, Weißrussland, Usbekistan und Kasachstan entdeckt.
Auffällig ist die gleichzeitige Verbreitung von verschiedenen Versionen, die über den Trojaner „SMS.AndroidOS.Opfake.a“ verteilt werden. Diese doppelte Art der Infektion beginnt mit einer SMS-Nachricht an die Nutzer, die aufgefordert werden, dem Link einer kürzlich empfangenen Nachricht zu folgen. Wenn das Opfer auf den betreffenden Link klickt, wird eine Datei mit „Opfake.a“ automatisch auf das betreffende Smartphone oder Tablet heruntergeladen.
Die schädliche Datei kann nur installiert werden, wenn der Nutzer diese auch startet. Sollte dies geschehen, sendet der Trojaner weitere Textnachrichten an die Kontakte des infizierten Gerätes. Ein Klick in diesen Nachrichten führt dazu, dass „Obad.a“ heruntergeladen wird. Es ist ein sehr ausgeklügeltes System: Ein russischer Mobilfunkanbieter meldete innerhalb von nur fünf Stunden mehr als 600 Nachrichten, die diese Links enthielten. All dies deutet auf eine großangelegte Verbreitung hin. In den meisten Fällen wurde der Schädling über ein bereits infiziertes Gerät verbreitet.
„Obad.a“-Verbreitung über Spam und illegale Seiten
Abgesehen von der Verwendung mobiler Botnetze wird dieser komplexe Trojaner auch über Spam-Nachrichten verbreitet. Typischerweise erscheint eine Warnmeldung, die den Nutzern eine unbezahlte Forderung vortäuscht und sie auffordert, einen Link aufzurufen, der „Obad.a“ automatisch auf das mobile Endgerät herunterlädt. Auch in diesem Fall müssen die Nutzer die heruntergeladene Datei starten, damit der Trojaner installiert wird.
Auch Websites, die Fake-Apps anbieten, dienen zur Verbreitung von „Backdoor.AndroidOS.Obad.a“. Sie kopieren den Inhalt der Google Play-Seiten und ersetzen die offiziellen Links durch bösartige Varianten. Es gibt auch Fälle, in denen offizielle Seiten gecrackt werden und auf gefährliche Websites verlinken. „Obad.a“ zielt ausschließlich auf die Nutzer von mobilen Endgeräten ab. Wenn potentielle Opfer die entsprechende Seite von einem Desktop-PC aus aufrufen, passiert nichts. Jedoch können Smartphones und Tablet-PCs jedes Betriebssystems zu den Fake-Seiten geleitet werden, obwohl nur eine Gefahr für Android-Nutzer besteht.
„In drei Monaten haben wir zwölf verschiedene Versionen von Backdoor.AndroidOS.Obad.a entdeckt. Alle hatten dieselbe Funktion und wiesen eine Code-Verschleierung in hohem Maße auf. Jede dieser Versionen nutzt Schwachstellen des Android-Betriebssystems, mit der das Schadprogramm Administratorrechte über das Gerät erhält. Das macht es um einiges schwerer, den Schädling zu löschen. Sofort nach der Entdeckung haben wir Google darüber informiert, worauf die Lücke in Android 4.3 geschlossen wurde. Allerdings verwenden nur wenige Smartphones und Tablet-PCs diese neue Version. Ältere Geräte mit früheren Android-Versionen sind somit weiterhin gefährdet. Obad.a beherbergt Exploit-Codes für insgesamt drei bislang unveröffentlichte Sicherheitslücken, und erinnert hinsichtlich der Komplexität und Vielseitigkeit stark an moderne PC Schadsoftware. Ein Trend, den wir in der Android Welt seit längerem beobachten und der jetzt seinen bisherigen Hochpunkt erreicht hat“, sagt Christian Funk, Senior Virus Analyst bei Kaspersky Lab.
Weitere Informationen zum Thema:
securelist.com
Neueste Analyse zur Verbreitung von „Obad.a“
Theiners Talk
Kooperation

Mitgliedschaft
Mitgliedschaft

Multiplikator

Gefragte Themen
- Europäischer Datenschutztag 2021: Einladung zu EAID-Veranstaltung
- Rheinland-Pfalz: Fragen und Antworten zum Datenschutz bei Corona-Impfungen online verfügbar
- Neuer BSI-Standard 200-4 mit zahlreichen Neuerungen
- Datensicherheitsverletzungen: 2020 mehr als 22 Milliarden offengelegte Datensätze
- XDR vs. EDR – Ansätze zur Cybersicherheit
- Windows 10-Bug: Bluescreen durch Aufruf eines bestimmten Pfades
- Kronos und GootKit: Malware-Kampagne attackiert Nutzer in Deutschland
- DarkMarket abgeschaltet: Reaktionen im Darknet
- Thema Impfstoff als Aufhänger für Cyber-Attacken
- Überarbeitete Standarddatenschutzklauseln: BfDI nimmt Stellung
- Tenable kommentiert erstes Microsoft-Update des Jahres 2021
Aktuelles, Experten, Veranstaltungen - Jan 19, 2021 21:55 - noch keine Kommentare
Europäischer Datenschutztag 2021: Einladung zu EAID-Veranstaltung
weitere Beiträge in Experten
- Rheinland-Pfalz: Fragen und Antworten zum Datenschutz bei Corona-Impfungen online verfügbar
- Neuer BSI-Standard 200-4 mit zahlreichen Neuerungen
- Überarbeitete Standarddatenschutzklauseln: BfDI nimmt Stellung
- Bestandsdatenauskunft: Warnung vor Internet-Surfspionage
- TERREG: Umstrittene EU-Anti-Terror-Internetverordnung angenommen
Branche - Jan 19, 2021 10:41 - noch keine Kommentare
Datensicherheitsverletzungen: 2020 mehr als 22 Milliarden offengelegte Datensätze
weitere Beiträge in Branche
- XDR vs. EDR – Ansätze zur Cybersicherheit
- Windows 10-Bug: Bluescreen durch Aufruf eines bestimmten Pfades
- DarkMarket abgeschaltet: Reaktionen im Darknet
- Thema Impfstoff als Aufhänger für Cyber-Attacken
- Tenable kommentiert erstes Microsoft-Update des Jahres 2021
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren