Twórcy Obada wykorzystali nieznany dotychczas błąd w systemie Android pozwalający szkodliwej aplikacji na uzyskanie uprawnień administracyjnych bez pojawiania się na liście zainstalowanych programów, które dysponują takimi przywilejami. W rezultacie, gdy Obad zainfekuje urządzenie, jego usunięcie nie jest możliwe przy użyciu konwencjonalnych metod systemowych.
Cyberprzestępcy wykryli także drugi błąd w Androidzie, związany z przetwarzaniem pliku AndroidManifest.xml. Plik ten jest obecny we wszystkich aplikacjach dla Androida i stosuje się go do opisywania struktury programów oraz definiowania ich parametrów. Obad modyfikuje plik AndroidManifest.xml w sposób, który sprawia, że nie jest on zgodny ze standardami Google’a, jednak w dalszym ciągu jest poprawnie przetwarzany przez system. Eksperci z Kaspersky Lab poinformowali już firmę Google o nieznanych dotychczas błędach w Androidzie wykorzystanych przez twórców trojana Obad.
Jak zachowuje się zainfekowany smartfon? Użytkownik zainfekowanego smartfona ma niewielkie szanse na zauważenie szkodliwej aktywności, ponieważ Obad nie posiada żadnego interfejsu i działa w tle. Symptomem infekcji może być blokowanie ekranu telefonu na około 10 sekund, gdy użytkownik aktywuje moduł Bluetooth lub podłącza się do otwartej sieci Wi-Fi. W trakcie tej pozornej bezczynności trojan próbuje atakować wszystkie urządzenia znajdujące się w zasięgu zainfekowanego smartfona. Dodatkową oznaką infekcji może być komunikat o niepowodzeniu w uzyskaniu uprawnień administratora.
Co trojan robi na zainfekowanym smartfonie? Po uzyskaniu uprawnień administracyjnych trojan natychmiast informuje o tym cyberprzestępcę, wysyłając odpowiedni komunikat na specjalny serwer. Od tego momentu atakujący może zdalnie wykonywać szereg poleceń bez wiedzy i zgody użytkownika zainfekowanego smartfona. Poza wykorzystaniem serwera, cyberprzestępcy mogą także kontrolować trojana przy użyciu wiadomości SMS.
Po pierwszym uruchomieniu Obad gromadzi i wysyła do cyberprzestępcy następujące informacje dotyczące zaatakowanego urządzenia:
• adres urządzenia Bluetooth,
• nazwa operatora telekomunikacyjnego,
• numer telefonu,
• numer IMEI telefonu,
• stan konta mobilnego,
• lokalny czas.
Dodatkowo, szkodnik regularnie wysyła do cyberprzestępcy raporty ze swojej aktywności obejmujące listę numerów premium, pod które udało się wysłać SMS-y, oraz statystykę wykonanych zadań. Szczegółowy opis techniczny trojana Backdoor.AndroidOS.Obad.a jest dostępny w serwisie SecureList.pl prowadzonym przez Kaspersky Lab.
Źródło: Kaspersky Lab