Roman Unuchek de Kaspersky Lab décrit le logiciel malveillant ''Backdoor.AndroidOS.Obad.a'' (''Obad.a'' pour faire court), comme le «cheval de Troie Android le plus sophistiqué », « plus proche des malwares de Windows que d'autres chevaux de Troie pour Android », en terme de complexité et du nombre de vulnérabilités inédites qu'il exploite.
Obad.a utilise toutes les voies d'infection habituelles d'Android : SMS, spams, faux sites Google de téléchargement de jeux ou de logiciels … Ca en fait le cheval de Troie le du monde Android.
''Obad.a'' est distribué avec un autre cheval de Troie pour appareil mobile, ''SMS.AndroidOS.Opfake.a''. Celui-ci est un ''fake'' qui feint d' être un logiciel sain téléchargeable par les utilisateurs. Une fois en place, ''Opfake.a'' utilise Google Cloud Messaging (GCM) pour envoyer à l'utilisateur un message texte avec le texte suivant:
MMS message has been delivered, download from www.otkroi.com.
Certains diront que les français sont incultes et ne liront même pas ce message en langue preneuse de tête. Il y en aura cependant quelques uns pour se laisser avoir.
Si l'utilisateur clique sur le lien, un fichier nommé mms.apk, contenant ''Opfake.a'', est chargé automatiquement sur le smartphone ou la tablette. Si cela se produit, le serveur de commande et de contrôle du botnet peut ordonner au cheval de Troie d'envoyer à tous les contacts dans le carnet d'adresses de la victime le message suivant :
You have a new MMS message, download at - http://otkroi.net/12
Là encore, il faut être quelque peu stupide, mais combien cliquent frénétiquement sur tout et n'importe quoi ? Ceux-là vont automatiquement charger un fichier ''mms.apk'' ou ''mmska.apk''. S'ils le lancent, ils obtiennent automatiquement ''Obad.a''.
Il existerait déjà une douzaine de versions de ce malware. Pour que sa propagation soit plus rapide, ses créateurs de cette petite merveille auraient loué tout ou partie d'un botnet. ''Obad.a'' utilise aussi une faille dans le système d'exploitation Android qui lui permet d'agir avec des droits d'administrateur ce qui le rend plus difficile à éradiquer.
Bien entendu Kaspersky en profite pour signaler que sa dernière version (KIS (Kaspersky Internet Security) for Android 11.1.4) peut supprimer ce malware malgré les vulnérabilités d'Android.
Obad.a Trojan now being distributed via mobile botnets (Roman Unuchek .. Securelist .. 05 septembre 2013)
@+