Een zeer gevaarlijk Trojaans paard voor Androidtoestellen verspreidt zich via mobiele botnets van andere criminele groeperingen, wat volgens een anti-virusbedrijf een unicum in de geschiedenis van mobiele malware is. Het gaat om de Obad malware, die in juni van dit jaar werd ontdekt.

Destijds werd Obad de meest geavanceerde Trojan ooit voor Android genoemd. Eenmaal actief kan de malware sms-berichten naar dure premium telefoonnummers sturen, andere malware downloaden en installeren, of die via Bluetooth verspreiden. Ook kan de malware op afstand opdrachten in de console uitvoeren.

Rechten

Toen Obad werd ontdekt bleek dat de kwaadaardige applicatie een onbekend lek gebruikte om Device Administrator-rechten te krijgen, zonder dat het in de lijst met applicaties verscheen die dit soort rechten hebben. Daardoor is het volgens het Russische anti-virusbedrijf Kaspersky Lab onmogelijk om de malware, nadat het deze uitgebreide rechten heeft gekregen, van de smartphone te verwijderen. Het lek werd in de nieuwste versie van Android gepatcht.

Verspreiding

Verschillende versies van Obad werden verspreid in combinatie met de Opfake Trojan, een ander Trojaans paard voor Android. Deze dubbele infectiepoging begint met een sms-bericht naar gebruikers, waarin hen dringend wordt aangeraden een eerder ontvangen sms-bericht te downloaden via een link. Als het slachtoffer op de link klikt, wordt automatisch een bestand met daarin Opfake gedownload.

Het gedownloade bestand kan alleen worden geïnstalleerd als de gebruiker het daadwerkelijk start. Als dat gebeurt, stuurt de Trojan berichten naar alle contacten op het besmette apparaat. Ontvangers van deze besmette berichten downloaden nu de Obad malware als zij op de link klikken. Een Russische mobiele netwerkprovider rapporteerde in vijf uur tijd meer dan 600 berichten met deze links.

Spamberichten

Behalve met behulp van mobiele botnets wordt Obad ook gedistribueerd via spamberichten. De gebruiker ontvangt een bericht met een waarschuwing over een onbetaalde schuld en zo wordt geprobeerd het slachtoffer over te halen om op een link te klikken die automatisch Obad downloadt. Gebruikers moeten echter nog steeds het gedownloade bestand zelf uitvoeren om de Trojan te installeren.

De meeste infecties van Obad werden in Rusland (83%) aangetroffen, gevolgd door Oekraïne, Wit-Rusland, Oezbekistan en Kazachstan. Het lek dat de malware gebruikt om beheerdersrechten te krijgen werd door Google in Android 4.3 gepatcht. "Slechts enkele nieuwe smartphones en tablets draaien deze versie echter al, dus oudere apparaten met eerdere versies zijn nog steeds kwetsbaar", zegt Roman Unuchek van Kaspersky Lab.