Verfasst von:

Android-Trojaner Obad.a: Der komplexeste mobile Schädling der Welt

Verfasst von: Christiane Scherch — 10.06.2013

Dem Sicherheitsdienstleister Kaspersky Lab ist es gelungen, den bisher schädlichsten Android-Trojaner zu enttarnen. "Obad.a" macht sich auf vielfältige Art und Weise selbstständig und hat für Android-Nutzer ein Gefahrenpotential von bisher ungeahntem Ausmaß.

cyberhacker keyboard
© Gerd Altman/pixelio.de, nh/AndroidPIT

Der auf den Namen “Backdoor.AndroidOS.Obad.a” getaufte Trojaner nutzt Lücken in der beliebten Software DEX2JAR und im Android-Betriebssystem, die bisher noch nicht geschlossen wurden. DEX2JAR wird von Entwicklern und Analysten dazu verwendet, um Android-Apps im APK-Format in das bequemere Java-Format (JAR) zu konvertieren.

Bei der Schwachstelle im Android-System handelt es sich um einen Zero-Day-Exploit, also um eine Sicherheitslücke, die erst mit dem Schädling selbst überhaupt entdeckt wurde. Kaspersky macht keine Angaben dazu, welche Android-Versionen diese Lücke haben, aber wenn sie vorhanden ist, dann nutzt "Obad.a" sie, um einmal erteilte Administratorrechte dauerhaft zu behalten: In der Liste der Geräteadministratoren (unter "Einstellungen / Sicherheit / Geräteadministratoren") taucht die Schadsoftware nämlich nicht auf und kann so auch nicht gefunden werden. Danach kann der Trojaner ohne Root-Zugriff nicht mehr vom Gerät gelöscht werden.

Über die Administratorrechte kann "Obad.a" den Bildschirm des infizierten Geräts für bis zu zehn Sekunden blockieren. Dies geschieht etwa, wenn das Smartphone mit einem freien WLAN-Netzwerk verbunden oder Bluetooth aktiviert ist. Steht eine Verbindung zur Verfügung, kann der Trojaner sich selbst und weitere Schadprogramme auf andere Geräte kopieren, die sich in der Nähe befinden.

kaspersky
"Obad.a" stellt alles bisher Dagewesene in den Schatten. © Kaspersky Lab

Die Fähigkeiten des Trojaners sind beängstigend. Er verschickt ungefragt SMS an Premium-Nummern und er kann sich mit einer Kommandozentrale verbinden, einem Command-and Control-Server (C&C), um die auf dem Smartphone oder Tablet gesammelten Informationen zu senden und neue Befehle zu erhalten. Folgende Informationen werden laut Kaspersky verschlüsselt übertragen: 

  • Die MAC-Adresse
  • Betreibername
  • IMEI-Nummer
  • Konto-Guthaben des Nutzers
  • Telefonnummern
  • Ortszeit

Außerdem erhält die Kommandozentrale auch eine Information, ob der Trojaner Administratorrechte überhaupt erhalten konnte. Nach einer erfolgreichen Verbindung mit dem Server sind weitere Aktionen möglich:

  • Textnachrichten versenden
  • Remote-Shell-Befehle ausführen
  • Als Proxy agieren
  • Verbindungen mit bestimmten Adressen aufbauen
  • Dateien vom Server herunterladen und installieren
  • Eine Liste der verwendeten Applikationen und Nutzerkontaktdaten an den Server sowie Dateien an alle entdeckten Bluetooth-Geräte schicken

Wie Kaspersky mitteilt, hat "Obad.a" eine bei mobilen Systemen bisher nicht gekannte Komplexität erreicht. Er ähnele mehr den Windows-basierten Schädlingen, was zeige, dass nicht nur die Quantität mobiler Schadsoftware zunimmt, sondern auch die Qualität. In Deutschland ist der Trojaner bisher noch nicht verbreitet, lediglich in Russland sollen einige Geräte betroffen sein. 

Die Infektion erfolgt über das Herunterladen von Apps aus anderen Quellen als dem Google Play Store. Man muss dazu (1) auf einen Link zur Installationsdatei klicken, (2) der Installation der App zustimmen und (3) bestätigen, dass die App als Geräteadministrator aktiv sein darf.

Google wurde von Kaspersky über die Schadsoftware informiert.

Quelle: Kaspersky Lab

Christiane ist Android-Nutzerin der ersten Stunde und seitdem auch Samsung-Fan. Bevor sie bei AndroidPIT als Online-Redakteurin anfing, hat sie ihren Germanistik-Bachelor abgeschlossen und einige Semester Koreanisch gelernt. In ihrer Freizeit geht sie zum Bogenschießen in die Wildnis von Brandenburg.

24 Kommentare

Neuen Kommentar schreiben:
  • Michael M 14.06.2013 Link zum Kommentar

    WICHTIG!!!
    Ich habe diesen virus auf meinen smartphone hilft es wenn ich ein factory reset mache????????????????

    0
  • Marcel L. 12.06.2013 Link zum Kommentar

    "(3) bestätigen, dass die App als Geräteadministrator aktiv sein darf." Bitte macht das alle, ja? Man liest nämlich nicht einfach durch was man einer app erlaubt, das gehört sich nicht!

    Ernsthaft: Gibt es denn eine Anleitung zum aufspüren und löschen dieses Eintrags?

    0
  • Jojo K. 11.06.2013 Link zum Kommentar

    ???

    0
  • Jojo K. 11.06.2013 Link zum Kommentar

    sind kasperskys Umsatz ma wieder gesunken

    0
  • Denis Des 11.06.2013 Link zum Kommentar

    Na toll, derjenige der den mist auf seinem Handy haben wird, verschickt es immer weiter xD

    0
  • Klaus T. 11.06.2013 Link zum Kommentar

    Na Bravo....mal wieder eine reißerische Meldung und eigentlich nix Neues. Nur gut für KasperDings DownloadCounter :-/

    0
  • Th³ B³@5t 11.06.2013 Link zum Kommentar

    Denke das die in den kommenden Tagen ein Update hinterher schicken.
    . Hoffe ich...^^

    0
  • User-Foto
    Steve "EnteEnteEnte" W. aus B. an der S. 10.06.2013 Link zum Kommentar

    Also echt Respekt, das Ding kann aua aua machen aber wer ist denn tatsächlich so dumm und gibt apps aus unbekannten Quellen Administrationsrechte? Richtig! Die, die es auch verdient haben xD Nette Info, danke sehr ^^

    0
  • User-Foto
    Ralph 10.06.2013 Link zum Kommentar

    Leider stellen sich viele - meiner Einschätzung nach, die meisten - User maximal dämlich an. Dennoch halte ich Virenscanner unter Android derzeit weiterhin für kontraproduktiv. Aber dazu habe ich schon diverse Beiträge im Forum geschrieben.

    0
  • Hippo 10.06.2013 Link zum Kommentar

    Ist ja mal wieder lächerlich, ich dachte zuerst die App holt sich selbst Admin Rechte, aber Nein man muss es sogar selbst bestätigen und dann taucht sie frecher Weise nichtmal mehr in der Liste auf, jetzt habe ich aber Angst!

    Genau die 3 Punkte (absichtlich runterladen, installieren und Rechte gewähren) unterscheiden es immer noch grundlegend von Windows Schadware (wo oft schon eine infizierte Website mit Javascript ausreicht).
    Wenn sie mal wirklich aktiviert und installiert ist sind die Funktionen zwar ganz nett, aber um das zu schaffen muss sich der User schon maximal dumm anstellen.

    0
  • Dänu 10.06.2013 Link zum Kommentar

    Gut zu wissen dass ich auch vor dem neusten und pösesten Ding keine Angst zu haben brauche....

    0
  • Nico Heister
    • Mod
    10.06.2013 Link zum Kommentar

    @mapatace:

    Das wurde vor der Änderung auch schon im Artikel geschrieben. Andreas hat den Abschnitt jetzt lediglich noch mal erweitert, damit es deutlicher wird. Also kein Grund zur Aufregung!

    0
  • mapatace 10.06.2013 Link zum Kommentar

    Wenn das zutrifft was TIM hier mitteilt, dann ist AP bei mir durch. Dann erfüllt AP nicht im Ansatz das, was man erwarten sollte.

    0
  • Andreas Seeger 10.06.2013 Link zum Kommentar

    @Tim: Manchmal sieht man den Wald vor lauter Bäumen nicht. Wir haben lediglich geschrieben, dass man Apps aus unbekannten Quellen installieren muss. Ich habe den Passus jetzt noch mal präzisiert. Danke für den Hinweis, beim nächsten Mal schreiben wir es gleich dazu!

    0
  • Andy N. 10.06.2013 Link zum Kommentar

    Typisch, dass nicht angegeben wird, welche Version betroffen ist.

    0
  • User-Foto
    TlM 10.06.2013 Link zum Kommentar

    Man muss:

    1. in einer SMS auf eine Link klicken
    2. selbst der Installation der App zustimmen
    3. selbst bestätigen, dass die App als Geräteadministrator aktiv sein darf.

    Erst dann hat man diese seltene Malware drauf. So blöd ist selten jemand.

    Kann man überall lesen, nur hier im Artikel wird die für User und Leser wichtigste Info verschwiegen.

    Warum?

    0
  • Der Clem 10.06.2013 Link zum Kommentar

    Schon richtig...andererseits, wer würde wohl eher net Trojaner entdecken, als eine Firma, die sich tagtäglich mit dem Thema befasst...?

    0
  • User-Foto
    Ralph 10.06.2013 Link zum Kommentar

    Richtig! Auch hier hilft GMV. Wer die Installation aus unbekannten Quellen nicht dauerhaft aktiv hat, ist sicher. Wer nicht jeder Nachricht mit Link blind vertraut und alles ohne nachzudenken anklickt, ist ziemlich sicher.

    0
  • Björn N. 10.06.2013 Link zum Kommentar

    +Frank K.

    Wir wissen nicht wie er herkommt, wie er sich verbreitet, aber er ist ganz doll pöse. Aber ihr euch jetzt Kaspersky für Android kauft braucht ihr euch keine Sorgen machen...

    Ich will nicht abstreiten das es Schadsoftware für Android gibt... Es hat nur immer so ein seltsamen Beigeschmack, wenn jemand der aus so etwas Profit schlägt, in regelmäßigen Abständen Warnungen herausgibt.

    0
  • Emir F. 10.06.2013 Link zum Kommentar

    Das hört sich wirklich extrem an.

    kurz offtopic: Wird Google heute nicht das weiße Nexus 4 vorstellen? Irgendwas war doch heute :D

    0
Zeige alle Kommentare