Cada día aparecen nuevos malwares para los diferentes sistemas. Uno de los sistemas que más está siendo atacado en los últimos meses es Android. Cada pocos días aparecen nuevos ataques, nuevos programas que se cuelan en la Play Store, nuevas herramientas malintencionadas que terminan infectando el sistema etc. Kaspersky Labs ha detectado un nuevo troyano igual que ha hecho en otras ocasiones a diferencia que lo que ha descubierto en este troyano ningún malware era capaz de realizarlo hasta ahora.
En el blog de Kaspersky podemos ver que han denominado al malware como «Backdoor.AndroidOs.Obad.a». Este malware puede, entre otras muchas funciones, explotar vulnerabilidades de diferentes aplicaciones desde el propio sistema, ganar derechos de superusuario sin acción del usuario, impedir su desinstalación y muchas acciones más.
Obad se instala en el sistema explotando vulnerabilidades hasta ahora desconocidas en Android. En primer lugar explota un bug en el ejecutor del archivo mainfest. Este archivo contiene tanto código que no debería permitirse su instalación en el sistema pero a la vez explota una vulnerabilidad que hace que el sistema ignore dicho archivo y proceda a su instalación. Una vez instalado utiliza otro exploit desconocido hasta ahora que le permite ganar permisos hasta conseguir el rango de root y una vez conseguido se coloca en el administrador de aplicaciones. Una vez aquí impide por completo su desinstalación.
El listado completo de funciones que realiza este troyano según Kaspersky Labs son:
- Envía mensaje de texto sin dejar rastro.
- Ping.
- Recibir balances de cuenta mediante USSD.
- Actúa como un proxy enviando la información a servidores externos.
- Conecta el navegador a direcciones específicas (clicker).
- Descarga un server y lo instala en el dispositivo para permitir el control del dispositivo.
- Envía una lista con las aplicaciones instaladas en el smartphone.
- Envía los datos de contacto del usuario al server.
- Shell remoto.
- Envía un archivo (probablemente una copia del troyano) a todos los dispositivos Bluetooth detectados.
El troyano Obad está cifrado en su mayor parte por lo que resulta muy difícil de detectar por los diferentes sistemas de seguridad. El cifrado se puede variar fácilmente por lo que en caso de ser detectado aparecerá una variante modificada totalmente nueva. Obad carece de icono, entrada en lista de aplicaciones y de interfaz por lo que está totalmente oculto y prácticamente indetectable. Funciona de forma íntegra en segundo plano por lo que es difícil hasta comprobar su proceso de ejecución. Puedes ver cómo afecta el malware bancario.
Por todo esto, ha sido denominado como el troyano más complejo y sofisticado de Android que existe hasta ahora. Por el momento su alcance es muy limitado pero ya empieza a aparecer en tiendas de aplicaciones alternativas y diversas webs de descargas bajo el nombre de diferentes aplicaciones. Debemos tener cuidado con lo que descargamos y las fuentes de dichos contenidos, estos troyanos cada vez se parecen más a un troyano de Windows que a uno de smartphone como conocíamos hasta ahora.