X

Anmelden

Zur Bestätigung jetzt anmelden

Passwort vergessen?

... oder mit Facebook anmelden:

Du hast noch keinen Zugang zu AndroidPIT? Registrieren

Android-Trojaner Obad.a: Der komplexeste mobile Schädling der Welt

Christiane Scherch
24

Dem Sicherheitsdienstleister Kaspersky Lab ist es gelungen, den bisher schädlichsten Android-Trojaner zu enttarnen. "Obad.a" macht sich auf vielfältige Art und Weise selbstständig und hat für Android-Nutzer ein Gefahrenpotential von bisher ungeahntem Ausmaß.

cyberhacker keyboard
© Gerd Altman/pixelio.de, nh/AndroidPIT

Der auf den Namen “Backdoor.AndroidOS.Obad.a” getaufte Trojaner nutzt Lücken in der beliebten Software DEX2JAR und im Android-Betriebssystem, die bisher noch nicht geschlossen wurden. DEX2JAR wird von Entwicklern und Analysten dazu verwendet, um Android-Apps im APK-Format in das bequemere Java-Format (JAR) zu konvertieren.

Bei der Schwachstelle im Android-System handelt es sich um einen Zero-Day-Exploit, also um eine Sicherheitslücke, die erst mit dem Schädling selbst überhaupt entdeckt wurde. Kaspersky macht keine Angaben dazu, welche Android-Versionen diese Lücke haben, aber wenn sie vorhanden ist, dann nutzt "Obad.a" sie, um einmal erteilte Administratorrechte dauerhaft zu behalten: In der Liste der Geräteadministratoren (unter "Einstellungen / Sicherheit / Geräteadministratoren") taucht die Schadsoftware nämlich nicht auf und kann so auch nicht gefunden werden. Danach kann der Trojaner ohne Root-Zugriff nicht mehr vom Gerät gelöscht werden.

Über die Administratorrechte kann "Obad.a" den Bildschirm des infizierten Geräts für bis zu zehn Sekunden blockieren. Dies geschieht etwa, wenn das Smartphone mit einem freien WLAN-Netzwerk verbunden oder Bluetooth aktiviert ist. Steht eine Verbindung zur Verfügung, kann der Trojaner sich selbst und weitere Schadprogramme auf andere Geräte kopieren, die sich in der Nähe befinden.

kaspersky
"Obad.a" stellt alles bisher Dagewesene in den Schatten. © Kaspersky Lab

Die Fähigkeiten des Trojaners sind beängstigend. Er verschickt ungefragt SMS an Premium-Nummern und er kann sich mit einer Kommandozentrale verbinden, einem Command-and Control-Server (C&C), um die auf dem Smartphone oder Tablet gesammelten Informationen zu senden und neue Befehle zu erhalten. Folgende Informationen werden laut Kaspersky verschlüsselt übertragen: 

  • Die MAC-Adresse
  • Betreibername
  • IMEI-Nummer
  • Konto-Guthaben des Nutzers
  • Telefonnummern
  • Ortszeit

Außerdem erhält die Kommandozentrale auch eine Information, ob der Trojaner Administratorrechte überhaupt erhalten konnte. Nach einer erfolgreichen Verbindung mit dem Server sind weitere Aktionen möglich:

  • Textnachrichten versenden
  • Remote-Shell-Befehle ausführen
  • Als Proxy agieren
  • Verbindungen mit bestimmten Adressen aufbauen
  • Dateien vom Server herunterladen und installieren
  • Eine Liste der verwendeten Applikationen und Nutzerkontaktdaten an den Server sowie Dateien an alle entdeckten Bluetooth-Geräte schicken

Wie Kaspersky mitteilt, hat "Obad.a" eine bei mobilen Systemen bisher nicht gekannte Komplexität erreicht. Er ähnele mehr den Windows-basierten Schädlingen, was zeige, dass nicht nur die Quantität mobiler Schadsoftware zunimmt, sondern auch die Qualität. In Deutschland ist der Trojaner bisher noch nicht verbreitet, lediglich in Russland sollen einige Geräte betroffen sein. 

Die Infektion erfolgt über das Herunterladen von Apps aus anderen Quellen als dem Google Play Store. Man muss dazu (1) auf einen Link zur Installationsdatei klicken, (2) der Installation der App zustimmen und (3) bestätigen, dass die App als Geräteadministrator aktiv sein darf.

Google wurde von Kaspersky über die Schadsoftware informiert.

Kommentare

Neuen Kommentar schreiben:
  • Lucas, Z. vor 10 Monaten Link

    Und dann sagen welche

    "Für Handys (Android) gibt es keine Viren, Trojaner, ..."


    Aber es wird immer irgendwo eine Sicherheitslücke geben.

    0
    0
  • Sascha M. vor 10 Monaten Link

    "In Deutschland ist der Trojaner bisher noch nicht verbreitet, lediglich in Russland sollen einige Geräte betroffen sein."

    Wer will das so genau beurteilen können?

    0
    0
  • Tobias Roggen vor 10 Monaten Link

    Wo kann man das nochmal downloaden?

    0
    0
  • Frank K. vor 10 Monaten Link

    In a nutshell:

    Hey, es gibt einen neuen, total gefährlichen, komplexen Trojaner unter Android, aber wir können weder sagen, wie er sich verbreitet, unter welchen Versionen er läuft, wie man sich schützen kann oder wie man ihn (selbst mit Root) entfernen kann.

    0
    0
  • Emir F. vor 10 Monaten Link

    Das hört sich wirklich extrem an.

    kurz offtopic: Wird Google heute nicht das weiße Nexus 4 vorstellen? Irgendwas war doch heute :D

    0
    0
  • Björn N. vor 10 Monaten Link

    +Frank K.

    Wir wissen nicht wie er herkommt, wie er sich verbreitet, aber er ist ganz doll pöse. Aber ihr euch jetzt Kaspersky für Android kauft braucht ihr euch keine Sorgen machen...

    Ich will nicht abstreiten das es Schadsoftware für Android gibt... Es hat nur immer so ein seltsamen Beigeschmack, wenn jemand der aus so etwas Profit schlägt, in regelmäßigen Abständen Warnungen herausgibt.

    0
    0
  • User-Foto
    Ralph vor 10 Monaten Link

    Richtig! Auch hier hilft GMV. Wer die Installation aus unbekannten Quellen nicht dauerhaft aktiv hat, ist sicher. Wer nicht jeder Nachricht mit Link blind vertraut und alles ohne nachzudenken anklickt, ist ziemlich sicher.

    0
    0
  • Der Clem vor 10 Monaten Link

    Schon richtig...andererseits, wer würde wohl eher net Trojaner entdecken, als eine Firma, die sich tagtäglich mit dem Thema befasst...?

    0
    0
  • TlM vor 10 Monaten Link

    Man muss:

    1. in einer SMS auf eine Link klicken
    2. selbst der Installation der App zustimmen
    3. selbst bestätigen, dass die App als Geräteadministrator aktiv sein darf.

    Erst dann hat man diese seltene Malware drauf. So blöd ist selten jemand.

    Kann man überall lesen, nur hier im Artikel wird die für User und Leser wichtigste Info verschwiegen.

    Warum?

    0
    0
  • Andy N. vor 10 Monaten Link

    Typisch, dass nicht angegeben wird, welche Version betroffen ist.

    0
    0
  • Andreas Seeger vor 10 Monaten Link

    @Tim: Manchmal sieht man den Wald vor lauter Bäumen nicht. Wir haben lediglich geschrieben, dass man Apps aus unbekannten Quellen installieren muss. Ich habe den Passus jetzt noch mal präzisiert. Danke für den Hinweis, beim nächsten Mal schreiben wir es gleich dazu!

    0
    0
  • mapatace vor 10 Monaten Link

    Wenn das zutrifft was TIM hier mitteilt, dann ist AP bei mir durch. Dann erfüllt AP nicht im Ansatz das, was man erwarten sollte.

    0
    0
  • User-Foto
    Admin
    Nico Heister vor 10 Monaten Link

    @mapatace:

    Das wurde vor der Änderung auch schon im Artikel geschrieben. Andreas hat den Abschnitt jetzt lediglich noch mal erweitert, damit es deutlicher wird. Also kein Grund zur Aufregung!

    0
    0
  • Dani vor 10 Monaten Link

    Gut zu wissen dass ich auch vor dem neusten und pösesten Ding keine Angst zu haben brauche....

    0
    0
  • Hippo vor 10 Monaten Link

    Ist ja mal wieder lächerlich, ich dachte zuerst die App holt sich selbst Admin Rechte, aber Nein man muss es sogar selbst bestätigen und dann taucht sie frecher Weise nichtmal mehr in der Liste auf, jetzt habe ich aber Angst!

    Genau die 3 Punkte (absichtlich runterladen, installieren und Rechte gewähren) unterscheiden es immer noch grundlegend von Windows Schadware (wo oft schon eine infizierte Website mit Javascript ausreicht).
    Wenn sie mal wirklich aktiviert und installiert ist sind die Funktionen zwar ganz nett, aber um das zu schaffen muss sich der User schon maximal dumm anstellen.

    0
    0
  • User-Foto
    Ralph vor 10 Monaten Link

    Leider stellen sich viele - meiner Einschätzung nach, die meisten - User maximal dämlich an. Dennoch halte ich Virenscanner unter Android derzeit weiterhin für kontraproduktiv. Aber dazu habe ich schon diverse Beiträge im Forum geschrieben.

    0
    0
  • Steve "EnteEnteEnte" W. aus B. an der S. vor 10 Monaten Link

    Also echt Respekt, das Ding kann aua aua machen aber wer ist denn tatsächlich so dumm und gibt apps aus unbekannten Quellen Administrationsrechte? Richtig! Die, die es auch verdient haben xD Nette Info, danke sehr ^^

    0
    0
  • Th³ B³@5t vor 10 Monaten Link

    Denke das die in den kommenden Tagen ein Update hinterher schicken.
    . Hoffe ich...^^

    0
    0
  • Klaus T. vor 10 Monaten Link

    Na Bravo....mal wieder eine reißerische Meldung und eigentlich nix Neues. Nur gut für KasperDings DownloadCounter :-/

    0
    0
  • Denis Des vor 10 Monaten Link

    Na toll, derjenige der den mist auf seinem Handy haben wird, verschickt es immer weiter xD

    0
    0
  • Jojo K. vor 10 Monaten Link

    sind kasperskys Umsatz ma wieder gesunken

    0
    0
  • Jojo K. vor 10 Monaten Link

    ???

    0
    0
  • Marcel L. vor 10 Monaten Link

    "(3) bestätigen, dass die App als Geräteadministrator aktiv sein darf." Bitte macht das alle, ja? Man liest nämlich nicht einfach durch was man einer app erlaubt, das gehört sich nicht!

    Ernsthaft: Gibt es denn eine Anleitung zum aufspüren und löschen dieses Eintrags?

    0
    0
  • Michael M vor 10 Monaten Link

    WICHTIG!!!
    Ich habe diesen virus auf meinen smartphone hilft es wenn ich ein factory reset mache????????????????

    0
    0

Author
5

Simkarten Slot fehlt ein Pin... Was nun?