Utrecht, 5 september 2013 – De afgelopen drie maanden hebben analisten van
Kaspersky Lab onderzoek verricht naar de verspreiding van de
Obad.a Trojan, een kwaadaardige app voor Android-toestellen. Naar nu blijkt hebben de criminelen achter deze Trojan een nieuwe techniek gebruikt om hun malware te verspreiden. Voor het eerst in de geschiedenis van mobiele cybercriminaliteit is een Trojan verspreid met behulp van botnets die worden aangestuurd door andere criminele groeperingen. Ook werd duidelijk dat Obad.a vooral wordt aangetroffen in de GOS-landen. In totaal werd 83% van de pogingen tot infectie geregistreerd in Rusland. Tevens werd de Trojan ook aangetroffen op mobiele apparaten in de Oekraïne, Wit-Rusland, Oezbekistan en Kazachstan.
Verschillende versies van Obad.a werden verspreid in combinatie met
Trojan-SMS.AndroidOS.Opfake.a. Deze dubbele infectiepoging begint met een sms-bericht naar gebruikers, waarin hen dringend wordt aangeraden een eerder ontvangen sms-bericht te downloaden via een link. Als het slachtoffer op de link klikt, wordt automatisch een bestand met daarin Opfake.a gedownload naar de smartphone of tablet.
Het kwaadaardige bestand Opfake.a kan alleen worden geïnstalleerd als de gebruiker het daadwerkelijk start. Als dat gebeurt, stuurt de Trojan berichten naar alle contacten op het besmette apparaat. Ontvangers van deze besmette berichten downloaden nu Obad.a als zij op de link klikken. Het is een goed georganiseerd systeem: een Russische mobiele netwerkprovider rapporteerde in 5 uur tijd meer dan 600 berichten met deze links, wat wijst op massadistributie. In de meeste gevallen werd de malware verspreid met behulp van reeds besmette apparaten.
Behalve met behulp van mobiele botnets wordt de zeer complexe Obad.a Trojan ook gedistribueerd via spamberichten. De gebruiker ontvangt een bericht met een waarschuwing over een onbetaalde schuld en zo wordt geprobeerd het slachtoffer over te halen om op een link te klikken die automatisch Obad.a downloadt naar het mobiele apparaat. Gebruikers moeten echter nog steeds het gedownloade bestand uitvoeren om de Trojan te installeren.
Ook nep-applicatiewinkels verspreiden Backdoor.AndroidOS.Obad.a. Ze kopiëren de inhoud van Google Play-pagina's, waarbij ze legitieme links vervangen door kwaadaardige. Waar legitieme sites worden gekraakt en gebruikers worden omgeleid naar gevaarlijke sites, richt Obad.a zich exclusief op mobiele gebruikers. Hoewel Android-gebruikers nu direct risico lopen, kunnen ook smartphones en tablets met andere besturingssystemen worden doorgestuurd naar die nep-websites. Potentiële slachtoffers die de site bezoeken vanaf een pc lopen geen gevaar.
"In drie maanden tijd ontdekten we twaalf versies van Backdoor.AndroidOS.Obad.a, alle met dezelfde functieset en een hoog niveau van codevertroebeling. Elk maakte bovendien gebruik van een zwakke plek in Android OS die de malware DeviceAdministrator-rechten geeft en het veel lastiger maakt de malware te verwijderen. Zodra we dit ontdekten, informeerden we Google en werd dit lek in Android 4.3 gedicht. Slechts enkele nieuwe smartphones en tablets draaien deze versie echter al, dus oudere apparaten met eerdere versies zijn nog steeds kwetsbaar. Obad.a, dat een groot aantal niet-gepubliceerde kwetsbaarheden gebruikt, lijkt meer op Windows malware dan andere Trojans voor Android", zegt Roman Unuchek, toonaangevend antivirusexpert bij Kaspersky Lab.
Meer informatie over de verspreiding van Obad.a is te lezen op
securelist.com.
Over Kaspersky Lab
Kaspersky Lab is 's werelds grootste niet-beursgenoteerde leverancier van endpoint beveiligingsoplossingen. Het bedrijf behoort wereldwijd tot de top vier leveranciers van beveiligingsoplossingen voor eindgebruikers.* In de meer dan vijftien jaar van zijn bestaan is Kaspersky Lab altijd een innovator geweest op het gebied van IT-beveiliging en biedt het effectieve digitale beveiligingsoplossingen voor de enterprisemarkt, mkb-bedrijven en consumenten. Kaspersky Lab, met zijn holding geregistreerd in het Verenigd Koninkrijk, is thans mondiaal actief in bijna 200 landen en gebieden en biedt wereldwijd bescherming aan ruim 300 miljoen gebruikers. Meer informatie op
www.kaspersky.com.
* Het bedrijf stond als vierde genoteerd in de IDC rating Worldwide Endpoint Security Revenue by Vendor, 2011. Deze klassering werd gepubliceerd in het IDC-rapport "Worldwide Endpoint Security 2012-2016 Forecast and 2011 Vendor Shares (IDC #235930, juli 2012). Het rapport classificeerde softwareleveranciers op basis van inkomsten uit verkopen van endpoint beveiligingsoplossingen in 2011.
Voor meer informatie zie
www.kaspersky.com/nl of
www.viruslist.com voor het laatste nieuws over internetbeveiliging, alerts, analyses en nieuws, inclusief Kaspersky Virus Scanner.
Noot voor redacties:
Voor hoge resolutie beeldmateriaal en overige informatie kunt u terecht op de Kaspersky Lab Newsroom Europe -
http://newsroom.kaspersky.eu - een portal waarop eenvoudig product- en bedrijfsinformatie, facts & figures, artikelen, persberichten, afbeeldingen, video’s en audiofragmenten te vinden en te downloaden zijn. Uiteraard kunt u ook contact opnemen met onderstaande contactpersonen.
Contactgegevens:
Kaspersky Lab
Caroline Breure
Tel. +31 (0)30 – 752 95 00
Caroline.Breure@kaspersky.nl
The Communication Force
Nanda Bechtholt
Tel. +31 (0) 23 56 56 850
nandab@communicationforce.com
© 2012 Kaspersky Lab. De informatie in dit document is onderhevig aan verandering zonder voorafgaande kennisgeving. De enige garanties voor producten van Kaspersky Lab en services is vastgelegd in de garantieverklaringen bij de betreffende producten en services. Niets in dit document kan worden opgevat als rechtgevend op extra garantie. Kaspersky Lab is niet aansprakelijk voor technische of redactionele fouten of weglatingen in deze publicatie.