Mobiele Trojan voor het eerst verspreid via alien botnets
De cybercriminelen achter de Obad.a Trojan blijkt een nieuwe techniek te gebruiken om de malware te verspreiden. Voor het eerst in de geschiedenis van mobiele cybercriminaliteit is een Trojan verspreid met behulp van botnets die worden aangestuurd door andere criminele groeperingen. Ook werd duidelijk dat Obad.a vooral wordt aangetroffen in de GOS-landen. In totaal werd 83% van de pogingen tot infectie geregistreerd in Rusland. De Trojan is ook aangetroffen op mobiele apparaten in de Oekraïne, Wit-Rusland, Oezbekistan en Kazachstan.
Verschillende varianten van Obad.a zijn verspreid in combinatie met Trojan-SMS.AndroidOS.Opfake.a. Deze dubbele infectiepoging begint met een sms-bericht naar gebruikers, waarin hen dringend wordt aangeraden een eerder ontvangen sms-bericht te downloaden via een link. Als het slachtoffer op de link klikt, wordt automatisch een bestand met daarin Opfake.a gedownload naar de smartphone of tablet.
Gebruiker moet bestand starten
Het kwaadaardige bestand Opfake.a kan alleen worden geïnstalleerd als de gebruiker het daadwerkelijk start. Als dat gebeurt, stuurt de Trojan berichten naar alle contacten op het besmette apparaat. Ontvangers van deze besmette berichten downloaden indien zij op de link klikken eveneens Obad.a, waarna het mechanisme opnieuw in werking treed.
Kaspersky stelt dat het gaat om een goed georganiseerd systeem. Een Russische mobiele netwerkprovider rapporteerde in 5 uur tijd meer dan 600 berichten met deze links, wat wijst op massadistributie. In de meeste gevallen werd de malware verspreid met behulp van reeds besmette apparaten.
Spamberichten
Behalve met behulp van mobiele botnets wordt de complexe Obad.a Trojan ook verspreid via spamberichten. De gebruiker ontvangt een bericht met een waarschuwing over een onbetaalde schuld en zo wordt geprobeerd het slachtoffer over te halen om op een link te klikken. Zodra het slachtoffer dit doet wordt automatisch Obad.a gedownload naar zijn mobiele apparaat. Gebruikers moeten echter nog steeds het gedownloade bestand uitvoeren om de Trojan te installeren.
Ook nep-applicatiewinkels verspreiden Backdoor.AndroidOS.Obad.a. Ze kopiëren de inhoud van Google Play-pagina's, waarbij ze legitieme links vervangen door kwaadaardige. Ook worden legitieme sites gekraakt, waarna gebruikers worden omgeleid naar gevaarlijke sites. Op dit moment zouden vooral Android-gebruikers direct risico lopen. Kaspersky waarschuwt echter dat ook smartphones en tablets met andere besturingssystemen kunnen worden doorgestuurd naar die nep-websites. Potentiële slachtoffers die de site bezoeken vanaf een pc lopen geen gevaar.