Распространение троянца Obad.a: теперь и мобильные ботнеты

В конце мая мы рассказали о возможностях и особенностях Backdoor.AndroidOS.Obad.a, самого сложного мобильного троянца. Однако на тот момент у нас практически не было информации о том, как эта вредоносная программа попадает на мобильные устройства. Чтобы закрыть этот пробел, мы на протяжении почти трех месяцев изучали пути распространения Backdoor.AndroidOS.Obad.a и выяснили, что владельцы троянца применяют не только уже знакомые нам приемы. Они стали первыми, кто для распространения своего троянца использовал возможности ботнетов, созданных на основе других мобильных зловредов.

На данный момент мы выявили четыре основных способа, которые используются злоумышленниками для распространения различных версий Backdoor.AndroidOS.Obad.a.

Мобильный ботнет

Наибольший интерес у нас вызвали случаи, когда Obad.a  распространялся в паре с другим мобильным троянцем Trojan-SMS.AndroidOS.Opfake.a. Ранее мы уже рассказывали об этой вредоносной программе в посте «GCM во вредоносных приложениях«. Попытка «парного» заражения начиналась, когда пользователю приходило SMS с текстом:

«Вам пришло MMS, загрузить www.otkroi.com»

Если пользователь кликал по ссылке, на его смартфон или планшет автоматически загружался файл с именем mms.apk, содержащий Trojan-SMS.AndroidOS.Opfake.a. Для установки вредоносной программы пользователь должен был сам запустить скачанный файл. Если это происходило, то после заражения мобильного устройства этот троянец мог по команде с C&C-сервера начать рассылку по всем контактам жертвы SMS следующего содержания:

«Вам новое MMS сообщение, загрузить — http://otkroi.net/12»

После клика по этой ссылке происходила автоматическая загрузка Backdoor.AndroidOS.Obad.a под именами mms.apk или mmska.apk.

Размах деятельности злоумышленников наглядно иллюстрируют данные, полученные нами от одного из российских мобильных операторов, который зафиксировал в своей сети массовую рассылку вредоносных SMS. За пять часов его абонентам было разослано более 600 SMS, содержащих ссылку на одну из модификаций Trojan-SMS.AndroidOS.Opfake.a. Причем в большинстве случаев рассылка опасных сообщений  шла с уже зараженных устройств, тогда как ранее аналогичные рассылки производились с SMS-шлюзов. В то же время далеко не все устройства, зараженные Trojan-SMS.AndroidOS.Opfake.a, распространяли ссылки на Backdoor.AndroidOS.Obad.a, так что можно предположить, что создатели опасного троянца арендуют часть мобильного ботнета для распространения своего детища.

В пользу этой версии также говорят графики заблокированных KIS for Android попыток установки той или иной версии Backdoor.AndroidOS.Obad.a. Практически на каждом из таких графиков можно увидеть резкое увеличение количества атак:

Внезапный рост количества попыток установки троянца характерен для версий Backdoor.AndroidOS.Obad.a, распространяющихся через SMS-спам. Причина их появления кроется в использовании мощностей сторонних ботнетов – мобильных устройств, зараженных другими вредоносными программами. Т.е. владельцы Backdoor.AndroidOS.Obad.a не только заставляют свой троянец рассылать SMS со ссылками на копии зловреда, но и используют для его распространения возможности троянцев, управляемых другими злоумышленниками.

Традиционный SMS-спам

Этот метод использовался злоумышленниками для распространения еще самых первых версий Backdoor.AndroidOS.Obad.a, но и сейчас SMS-спам является основным средством доставки троянца на мобильные устройства. Например, злоумышленники под именем отправителя DOLG.INFO рассылали SMS с текстом следующего содержания:

«у Вас образовалась задолженность. информация ,тут — http://dolzniki.info/1»

Если пользователь кликал по присланной ссылке, на его мобильное устройство автоматически загружался Backdoor.AndroidOS.Obad.a. Однако для установки троянца пользователь должен был самостоятельно запустить скачанный файл.

Поддельный магазин Google Play

Одним из популярных способов распространения мобильных троянцев, в том числе Backdoor.AndroidOS.Obad.a, является размещение вредоносных программ в поддельных магазинах приложений. Как правило, создатели таких магазинов копируют содержимое страниц официального магазина Google Play, но подменяют ссылки на легитимные приложения вредоносными. Попасть на подделку несложно, основным источником посетителей для подобных страниц являются поисковые системы.

В нашем примере пользователю предлагают скачать и установить популярную мобильную игру, но вместо нее будущая жертва получает вредоносную программу, в данном случае Backdoor.AndroidOS.Obad.a. В ходе исследования мы обнаружили два сайта, с которых распространяются модификации этого троянца: p1ay-goog1e.mobi и p1aygoog1e.com.

Перенаправление со взломанных сайтов

Взлом легитимных сайтов с целью  перенаправления их посетителей на другие сайты также весьма популярен у злоумышленников. В большинстве случаев редирект осуществляется путем внесения изменений в .htaccess файл:

Реже — добавлением вредоносного кода в JS-скрипты сайта:

В случае с Backdoor.AndroidOS.Obad.a злоумышленники ориентированы на заражение пользователей мобильных устройств, поэтому если потенциальная жертва заходит на сайт с домашнего компьютера, перенаправления на вредоносный сайт не произойдет. Тогда как владельцы мобильных устройств (независимо от установленной ОС) могут увидеть одну из следующих страниц:

Всего нами было обнаружено более 120 взломанных сайтов, которые перенаправляли мобильных пользователей на сайт nbelt.ru, где им демонстрировали подобные страницы. После нажатия на любую область открытой страницы на мобильное устройство пользователя загружался Backdoor.AndroidOS.Obad.a.

Заключение

Всего за почти три месяца исследований мы обнаружили 12 версий Backdoor.AndroidOS.Obad.a. Все они обладали схожим функционалом, характеризовались высокой степенью обфускации кода и использовали уязвимость в ОС Android, которая позволяла зловреду скрытно получить права DeviceAdministrator и крайне усложняла его удаление. Сразу после обнаружения этой уязвимости мы сообщили о ней в Google, и в новой Android 4.3 она была закрыта. К сожалению, эта версия ОС пока доступна только для небольшого количества новых смартфонов и планшетов –  устройства, работающие на предыдущих версиях платформы, все еще находятся под угрозой. Однако последняя версия KIS for Android 11.1.4.106 может удалять  Backdoor.AndroidOS.Obad.a из любой версии Android, несмотря на использование уязвимости.

Мы также установили, что основным местом обитания троянца являются страны СНГ. Чаще всего Backdoor.AndroidOS.Obad.a встречался в России – более 83% попыток заражения. Кроме того, троянец был обнаружен на мобильных устройствах пользователей из Узбекистана, Казахстана, Украины, Беларуси.

Владельцы Backdoor.AndroidOS.Obad.a определенно решили «ковать железо, пока горячо» и используют для распространения вредоносной программы не только обычные каналы, но и новые приемы. Мы впервые сталкиваемся с тем, что для распространения мобильных троянцев используются мобильные ботнеты. Это говорит о том, что киберпреступники продолжают адаптировать отработанные приемы заражения ПК для своих нужд, а угроза со стороны Backdoor.AndroidOS.Obad.a все еще актуальна.