Obad.a: Verbreitung jetzt auch über mobile Botnetze

Ende Mail beschrieben wir die Möglichkeiten und Besonderheiten von Backdoor.AndroidOS.Obad.a, dem gefährlichsten mobilen Trojaner aller Zeiten. Zu dem Zeitpunkt hatten wir allerdings so gut wie keine Informationen darüber, wie dieses Schadprogramm auf die mobilen Geräte gelangt. Um diese Lücke zu schließen, studierten wir im Laufe von fast drei Monaten die Verbreitungswege von Backdoor.AndroidOS.Obad.a und stellten dabei fest, dass die Herren des Trojaners nicht ausschließlich bereits bekannte Methoden anwenden. Sie sind die ersten, die zur Verbreitung ihres Trojaners die Möglichkeiten von Botnetzen nutzen, die auf der Grundlage anderer mobiler Schädlinge errichtet wurden.

Bisher haben wir vier Hauptmethoden identifiziert, die von Cyberkriminellen genutzt werden, um die verschiedenen Versionen von Backdoor.AndroidOS.Obad.a in Umlauf zu bringen.

Mobiles Botnetz

Unser allergrößtes Interesse wurde durch einen Vorfall geweckt, im Rahmen dessen Obad.a zusammen mit einem anderen mobilen Trojaner, und zwar Trojan-SMS.AndroidOS.Opfake.a, verbreitet wurde. Über dieses Schadprogramm haben wir bereits in unserer Kategorie Weblog unter dem Titel GCM in schädlichen Anwendungen berichtet. Der Versuch einer „Doppelinfizierung“ begann, sobald der Anwender eine SMS mit folgendem Text erhielt:

„Sie haben eine MMS erhalten, Download unter www.otkroi.com“

Klickte der Anwender auf den Link, so wurde auf sein Smartphone oder Tablet automatisch eine Datei mit der Bezeichnung mms.apk geladen, die den Schädling Trojan-SMS.AndroidOS.Opfake.a enthielt. Zur Installation des Schadprogramms musste der Anwender die geladene Datei selbst starten. Daraufhin begann Trojaner nach der Infektion des mobilen Geräts auf Befehl vom C&C-Server, an alle Kontakte des Opfers eine SMS mit dem folgenden Inhalt zu versenden:

„Sie haben eine neue MMS erhalten, Download unter http://otkroi.net/12“

Nach einem Klick auf diesen Link wurde unter den Bezeichnungen mms.apk oder mmska.apk wiederum automatisch Backdoor.AndroidOS.Obad.a geladen.

Das Ausmaß der diesbezüglichen Cyberkriminellen-Aktivität wird anschaulich durch die Daten illustriert, die wir von einem russischen Mobilfunkanbieter erhalten haben, der in seinem Netz eine Massenversendung von schädlichen SMS registriert hatte. Innerhalb von fünf Stunden wurden seinen Kunden über 600 SMS zugeschickt, die einen Link auf eine der Modifikationen von Trojan-SMS.AndroidOS.Opfake.a enthielten. Dabei stammten die meisten Versendungen gefährlicher Mitteilungen von bereits infizierten Geräten, während analoge Versendungen früher über SMS-Gateways abgesetzt wurden. Gleichzeitig verbreiteten allerdings bei weitem nicht alle mit Trojan-SMS.AndroidOS.Opfake.a infizierten Geräte Links auf Backdoor.AndroidOS.Obad.a, was darauf schließen lässt, dass die Entwickler des gefährlichen Trojaners nur einen Teil des mobilen Botnetzes zur Verbreitung ihres Machwerks mieten.

Diese These wird auch von der Grafik der von KIS für Android blockierten Installationsversuche von verschiedenen Versionen von Backdoor.AndroidOS.Obad.a gestützt. Praktisch auf jeder dieser Grafiken ist ein deutlicher Anstieg der Attacken zu erkennen:

newobad_0

Der plötzliche Anstieg der Installationsversuche des Trojaners ist für die Versionen von Backdoor.AndroidOS.Obad.a charakteristisch, die sich via SMS-Spam verbreiten. Der Grund für ihr Erscheinen liegt in der Ausnutzung der Leistungsstärke von Dritt-Botnetzen – mobilen Geräten also, die mit anderen Schadprogrammen infiziert sind. Das heißt, die Betreiber von Backdoor.AndroidOS.Obad.a bringen nicht nur ihren eigenen Trojaner dazu, SMS mit Links auf Kopien des Schädlings zu versenden, sondern nutzen zu seiner Verbreitung auch die Möglichkeiten von Trojanern, die von anderen Cyberkriminellen kontrolliert werden.

Traditionelles SMS-Spam

Diese Methode wurde von Online-Gangstern schon zur Verbreitung der allerersten Versionen von Backdoor.AndroidOS.Obad.a eingesetzt, doch auch jetzt noch gehört SMS-Spam zu den wichtigsten Methoden zur Lieferung des Trojaners auf mobile Geräte. So verschickten Cyberkriminelle beispielsweise unter dem Absendernamen DOLG.INFO Kurzmitteilungen mit dem folgenden Inhalt:

„Bei Ihnen haben sich Schulden angehäuft. Informationen hier – http://dolzniki.info/1“

Klickte der User auf den gesendeten Link, so wurde auf sein mobiles Gerät automatisch der Schädling Backdoor.AndroidOS.Obad.a geladen. Allerdings muss der Anwender für die Installation des Trojaners die geladene Datei selbst starten.

Gefakter Google Play Store

Eine der beliebtesten Methoden zur Verbreitung von mobilen Trojanern, unter anderem auch von Backdoor.AndroidOS.Obad.a, ist die Platzierung von Schadprogrammen in gefälschten App-Shops. In der Regel kopieren die Betrüger zu diesem Zweck die Seiten des offiziellen Stores Google Play, tauschen dabei aber die Links auf legitime Anwendungen gegen Links auf Schadprogramme aus. Dabei ist es leicht zu, auf eine solche Fälschung zu geraten – die Hauptquellen, die auf solche Seiten verweisen, sind Suchsysteme.

newobad_1

In unserem Beispiel wird dem Anwender angeboten, ein beliebtes mobiles Spiel zu laden und zu starten, doch stattdessen erhält das zukünftige Opfer ein Schadprogramm, in diesem Fall Backdoor.AndroidOS.Obad.a. Im Zuge unserer Untersuchungen entdeckten wir zwei Websites, über die Modifikationen dieses Trojaners verbreitet werden: p1ay-goog1e.mobi und p1aygoog1e.com.

Umleitung von gehackten Websites

Auch das Hacken von legitimen Websites zur Umleitung der Besucher auf andere Sites ist unter Cyberkriminellen überaus beliebt. In den meisten Fällen wird der Redirect durch eine Veränderung in der .htaccess-Datei realisiert:

newobad_2

Seltener durch das Einfügen des Schadcodes in die JS-Skripte der Site:

newobad_3

Im Fall von Backdoor.AndroidOS.Obad.a sind die Online-Verbrecher auf die Infektion von mobilen Geräten aus. Betritt ein potentielles Opfer die entsprechende Website also von einem Heimcomputer aus, so findet keine Umleitung auf eine schädliche Site statt. Wohingegen die Inhaber mobiler Geräte (unabhängig vom darauf installierten Betriebssystem) eine der folgenden Seiten zu sehen bekommen:

newobad_4

Insgesamt haben wir über 120 gehackte Websites gefunden, die mobile Anwender auf die Website nbelt.ru umleiteten, wo ihnen ähnliche Seiten angezeigt wurden. Nach einem Klick in einen beliebigen Bereich auf der geöffneten Seite wurde auf das mobile Gerät des Anwenders der Schädling Backdoor.AndroidOS.Obad.a geladen.

Fazit

Im Laufe unserer fast 3 Monate andauernden Ermittlungen entdeckten wird 12 Versionen von Backdoor.AndroidOS.Obad.a. Sie alle verfügen über eine ähnliche Funktionalität, die durch einen hohen Obfuskationsgrad charakterisiert ist, und die eine Sicherheitslücke im Betriebssystem Android ausnutzt, durch die der Schädling die Rechte eines Geräteadministrators erlangen kann, wodurch das Entfernen des Schadprogramms erheblich erschwert wird. Nachdem wir diese Sicherheitslücke entdeckt hatten, haben wir umgehend Google darüber informiert, und in der neuen Version, Android 4.3, wurde sie bereits geschlossen. Leider ist diese Version des Betriebssystems vorerst nur für eine geringe Zahl allerneuster Smartphones und Tablet-Computer verfügbar – Geräte, auf denen frühere Versionen laufen, sind nach wie vor gefährdet. Allerdings ist die neuste KIS-Version für Android 11.1.4.106 in der Lage, Backdoor.AndroidOS.Obad.a aus jeder beliebigen Android-Version zu löschen – ganz gleich, ob diese Sicherheitslücke ausgenutzt wird oder nicht.

Wir haben zudem festgestellt, dass der Lebensraum des Trojaners in erster Linie in den GUS-Ländern liegt. In Russland ist die Population von Backdoor.AndroidOS.Obad.a am dichtesten – über 83% aller Infektionsversuche wurden hier registriert. Überdies wurde der Trojaner auf den mobilen Geräten von Anwendern aus Usbekistan, Kasachstan, der Ukraine und Weißrussland gefunden.

Die Herren von Backdoor.AndroidOS.Obad.a haben sich eindeutig entschieden, das Eisen zu schmieden, solange es heiß ist, und nutzen zur Verbreitung des Schadprogramms nicht nur alt bekannte Kanäle, sondern setzen auch auf neue Methoden. Erstmals wurden wir damit konfrontiert, dass zur Verbreitung von mobilen Trojanern mobile Botnetze eingesetzt werden. Das zeugt davon, dass die Cyberkriminellen weiterhin bewährte Infektionsmethoden von PCs an ihre Bedürfnisse anpassen und dass Backdoor.AndroidOS.Obad.a weiterhin eine Bedrohung darstellt.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.