Aktuelles, Branche - geschrieben von cp am Donnerstag, September 5, 2013 17:34 - noch keine Kommentare
„Obad.a“: Android-Schädling nutzt bisher nie dagewesene Verbreitungs-Techniken
Kaspersky Lab beobachtet en ersten Fall eines mobilen Schadprograms, das über fremde Botnetze verbreitet wird
[datensicherheit.de, 05.09.2013] Im Laufe der letzten drei Monate hat Kaspersky Lab beobachtet, wie der „Obad.a“-Trojaner, der bisher komplexeste mobile Android-Schädling, verbreitet wird. Zum ersten Mal in der Geschichte der Cyberkriminalität rund um mobile Endgeräte nutzt ein Trojaner Botnetze, die von anderen kriminelle Gruppierungen kontrolliert werden. Insgesamt wurden 83 Prozent der Infektionsversuche in Russland verzeichnet. „Obad.a“ kommt wohl hauptsächlich in den GUS-Staaten vor. Darüber hinaus wurde er auch auf mobilen Endgeräten in der Ukraine, Weißrussland, Usbekistan und Kasachstan entdeckt.
Auffällig ist die gleichzeitige Verbreitung von verschiedenen Versionen, die über den Trojaner „SMS.AndroidOS.Opfake.a“ verteilt werden. Diese doppelte Art der Infektion beginnt mit einer SMS-Nachricht an die Nutzer, die aufgefordert werden, dem Link einer kürzlich empfangenen Nachricht zu folgen. Wenn das Opfer auf den betreffenden Link klickt, wird eine Datei mit „Opfake.a“ automatisch auf das betreffende Smartphone oder Tablet heruntergeladen.
Die schädliche Datei kann nur installiert werden, wenn der Nutzer diese auch startet. Sollte dies geschehen, sendet der Trojaner weitere Textnachrichten an die Kontakte des infizierten Gerätes. Ein Klick in diesen Nachrichten führt dazu, dass „Obad.a“ heruntergeladen wird. Es ist ein sehr ausgeklügeltes System: Ein russischer Mobilfunkanbieter meldete innerhalb von nur fünf Stunden mehr als 600 Nachrichten, die diese Links enthielten. All dies deutet auf eine großangelegte Verbreitung hin. In den meisten Fällen wurde der Schädling über ein bereits infiziertes Gerät verbreitet.
„Obad.a“-Verbreitung über Spam und illegale Seiten
Abgesehen von der Verwendung mobiler Botnetze wird dieser komplexe Trojaner auch über Spam-Nachrichten verbreitet. Typischerweise erscheint eine Warnmeldung, die den Nutzern eine unbezahlte Forderung vortäuscht und sie auffordert, einen Link aufzurufen, der „Obad.a“ automatisch auf das mobile Endgerät herunterlädt. Auch in diesem Fall müssen die Nutzer die heruntergeladene Datei starten, damit der Trojaner installiert wird.
Auch Websites, die Fake-Apps anbieten, dienen zur Verbreitung von „Backdoor.AndroidOS.Obad.a“. Sie kopieren den Inhalt der Google Play-Seiten und ersetzen die offiziellen Links durch bösartige Varianten. Es gibt auch Fälle, in denen offizielle Seiten gecrackt werden und auf gefährliche Websites verlinken. „Obad.a“ zielt ausschließlich auf die Nutzer von mobilen Endgeräten ab. Wenn potentielle Opfer die entsprechende Seite von einem Desktop-PC aus aufrufen, passiert nichts. Jedoch können Smartphones und Tablet-PCs jedes Betriebssystems zu den Fake-Seiten geleitet werden, obwohl nur eine Gefahr für Android-Nutzer besteht.
„In drei Monaten haben wir zwölf verschiedene Versionen von Backdoor.AndroidOS.Obad.a entdeckt. Alle hatten dieselbe Funktion und wiesen eine Code-Verschleierung in hohem Maße auf. Jede dieser Versionen nutzt Schwachstellen des Android-Betriebssystems, mit der das Schadprogramm Administratorrechte über das Gerät erhält. Das macht es um einiges schwerer, den Schädling zu löschen. Sofort nach der Entdeckung haben wir Google darüber informiert, worauf die Lücke in Android 4.3 geschlossen wurde. Allerdings verwenden nur wenige Smartphones und Tablet-PCs diese neue Version. Ältere Geräte mit früheren Android-Versionen sind somit weiterhin gefährdet. Obad.a beherbergt Exploit-Codes für insgesamt drei bislang unveröffentlichte Sicherheitslücken, und erinnert hinsichtlich der Komplexität und Vielseitigkeit stark an moderne PC Schadsoftware. Ein Trend, den wir in der Android Welt seit längerem beobachten und der jetzt seinen bisherigen Hochpunkt erreicht hat“, sagt Christian Funk, Senior Virus Analyst bei Kaspersky Lab.
Weitere Informationen zum Thema:
securelist.com
Neueste Analyse zur Verbreitung von „Obad.a“
Aktuelles, Experten, Veranstaltungen - Jul 27, 2024 0:58 - noch keine Kommentare
ULD-Sommerakademie 2024 in Kiel: Digitale Datenräume und Archive im Fokus
weitere Beiträge in Experten
- NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
Aktuelles, Branche, Veranstaltungen - Jul 27, 2024 0:46 - noch keine Kommentare
Schutz persönlicher Daten: SOPHOS lädt zu Web-Seminar mit der Ethischen Hackerin Rachel Tobac ein
weitere Beiträge in Branche
- Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren