Prvi slučaj mobilnog trojanca koji se širi pomoću botneta

Prvi put u istoriji mobilnog sajber kriminala, trojanac se širi uz pomoć botneta koji kontrolišu druge kaspersky-logo-370x229kriminalne grupe. Takođe je utvrđeno da se Obad.a uglavnom nalazi u zemljama Zajednice nezavisnih država. Ukupno 83 odsto pokušaja infekcije je zabeleženo u Rusiji, dok su infekcije takođe otkrivene i na mobilnim uređajima u Ukrajini, Belorusiji, Uzbekistanu i Kazahstanu.

Najzanimljiviji model distribucije zlonamernih aplikacija jeste onaj u kome se različite verzije Obad.a aplikacije šire sa aplikacijom Trojan-SMS.AndroidOS.Opfake.a . Ovaj dvostruki pokušaj infekcija počinje slanjem poruke korisnicima u kojoj se traži da preuzmu nedavno primljenu tekstualnu poruku. Ukoliko žrtva prevare klikne na link, datoteka koja sadrži Opfake.a se automatski preuzima na smart telefonu ili tabletu.

Zlonamerna datoteka se može instalirati samo ukoliko je korisnik tada pokrene; ako se to desi, trojanac šalje dodatne poruke svim kontaktima na inficiranom uređaju. Klikom na link u ovim porukama dolazi do preuzimanja aplikacije Obad.a. To je dobro organizovani sistem: jedan ruski mobilni provajder je prijavio više od 600 poruka koje sadrže ove linkove u roku od samo pet sati, što ukazuje na masovnu distribuciju. U većini slučajeva zlonamerni program se širi korišćenjem uređaja koji su već zaraženi.

Pored korišćenja mobilnog botneta, ovaj veoma složen trojanac se takođe distribuira putem spam poruka. One su glavni prenosilac aplikacije Obad.a. Korisnicima obično stiže upozorenje o neplaćenim „dugovima“ koje ih navodi da slede link, koji zatim automatski preuzima aplikaciju Obad.a na mobilnom uređaju. Doduše, korisnici opet moraju da pokrenu preuzetu datoteku da bi ovaj trojanac bio instaliran.

Lažne prodavnice aplikacija takođe šire Backdoor.AndroidOS.Obad.a. One kopiraju sadržaj stranice Google Play i zamenjuju pouzdane linkove onim zlonamernim. Kada aplikacija Obad.a putem legitimnih sajtova preusmeri korisnike na one opasne, ona isključivo cilja na korisnike mobilnih uređaja – ukoliko potencijalna žrtva uđe na sajt sa kućnog računara ništa se ne dešava, ali smart telefoni i tableti sa bilo kojim operativnim sistemom mogu biti preusmereni na te lažne stranice (iako su samo korisnici Android-a u opasnosti).

Za tri meseca smo otkrili 12 verzija aplikacije Backdoor.AndroidOS.Obad.a . Sve su imale isti skup funkcija i visok nivo zagonetnog koda (code obfuscation), a svaka je koristila ranjivosti oprativnog sistema Android koje zlonamernom programu daju prava administratora uređaja (Device Administrator), što ih čini mnogo težim za brisanje. Čim smo otkrili ovo, mi smo obavestili Google i propust je bio regulisan u Android verziji 4.3. Međutim, ovu verziju ima samo nekoliko novih smart telefona i tableta, dok su stariji uređaji koji koriste starije verzije još uvek u opasnosti. Aplikacija Obad.a , koja koristi veliki broj neobjavljenih ranjivosti, sličnija je Windows zlonamernim programima od drugih trojanaca za Android”, rekao je Roman Unuček, vodeći stručnjak za antivirus u kompaniji Kaspersky Lab.

Izvor: PCPress

kasperskitrojanac