Un nuovo e pericoloso malware Android è stato scoperto dai ricercatori di sicurezza dei Kaspersky Labs. Di per sè questa non sarebbe una grande novità se non per la natura molto maligna del nuovo Trojan, battezzato Backdoor.AndroidOS.Obad.a. Questo nuovo malware sfrutta una serie di vulnerabilità multiple ed inoltre comanda alcuni aspetti importanti dei nostri device Android.
Backdoor.AndroidOS.Obad.a blocca tutti i tentativi di disinstallazione, i tentativi di ottenere accesso al root ed inoltre è in grado di eseguire una serie di comandi remoti. Insomma siamo davanti ad uno dei più sofisticati malware Android.
Ci sono due sconosciute vulnerabilità di Android sfruttate da Obad. Il programma di installazione del malware contiene un file AndroidManifest.xml modificato, che è una parte di ogni applicazioni Android e proprio quest’ultimo è la prima vulnerabilità, dato che viene elaborato dal sistema,ed una volta in esecuzione riesce ad ottenere l’accesso come amministratore e non potrà essere disinstallato e non appare nemmeno tra le app approvate dall’amministratore.
La funzione di amministratore Android consente di leggere le notifiche ed eseguire altre operazioni avanzate. Obad controlla tutto il sistema ed invia backup di dati al proprio server. Secondo Kaspersky questi potrebbero essere i comandi più utilizzati:
- Send text message. Parameters contain number and text. Replies are deleted.
- PING.
- Receive account balance via USSD.
- Act as proxy (send specified data to specified address, and communicate the response).
- Connect to specified address (clicker).
- Download a file from the server and install it.
- Send a list of applications installed on the smartphone to the server.
- Send information about an installed application specified by the C&C server.
- Send the user’s contact data to the server.
- Remote Shell. Executes commands in the console, as specified by the cybercriminal.
- Send a file to all detected Bluetooth devices.
Quando arriva su un dispositivo la gran parte del pacchetto risulta criptato ed alcuni dei componenti più importanti non vengono decifrati fino a quando non ottiene l’accesso a internet. Tutto ciò rende il rilevamento ancora più difficile. Il Trojan non ha un’interfaccia e viene eseguito in background inoltre tutta la sua struttura lo rende più simile ad un virus per Windows rispetto a tutti i Trojan Android visti durante questi anni.
Backdoor.AndroidOS.Obad.a è ancora molto limitato ma in continua espansione, secondo i dati raccolti si diffonderebbe tramite store alternativi e siti web poco affidabili perciò raccomandiamo a tutti gli utenti massima attenzione.