调查显示,Obad的多种版本采用了一种有趣的传播模式,即利用Trojan-SMS.AndroidOS.Opfake.a进行传播。这种双重感染手段一般通过向用户发送短信来进行。短信会提示用户下载一个最新收到的短信息。如果受害者点击了短信链接,会自下载动一个包含Opfake的文件到用户智能手机和平板电脑。而用户启动该恶意文件,恶意程序就会安装。一旦其成功运行,木马会向被感染设备中的所有联系人发送短信。如果接收到这些短信的用户点击其中的链接,就会下载Obad.a木马。这是一种非常有效的传播系统。一家俄罗斯移动网络供应商声称,仅在5小时内,网络内就出现超过600条包含此类恶意链接的短信,这表明其传播规模非常可观。大多数情况下,该恶意软件会利用已经被感染的设备进行传播。
除了利用手机僵尸网络进行传播外,这种高度复杂的木马还能够通过垃圾短信进行传播。这也是Obad.a木马的主要传播途径。通常,手机用户会接收到一条提示用户“欠费”的短信,如果用户点击了其中的链接,就会自动下载Obad.a到移动设备。同样地,只有用户运行下载文件,才会将木马安装到设备上。
与此同时,一些假冒的应用商店同样会传播Backdoor.AndroidOS.Obad.a。这些在线应用商店会抄袭Google Play的页面,并将其中的合法应用链接替换为恶意应用链接。当合法网站被黑客攻陷后,用户就会被重定向到恶意网站。Obad.a仅针对移动用户发起攻击,如果用户使用家用计算机访问恶意网站,则什么都不会发生。但是如果使用移动操作系统的智能手机和平板电脑访问,就会被重定向到假冒的恶意网站(目前只有安卓用户面临感染风险)。
“3个月期间,我们共发现12种不同版本的Backdoor.AndroidOS.Obad.a。这些恶意程序全都具有相似的功能以及较高水平的干扰代码。每个版本的恶意程序都会利用安卓操作系统的漏洞,使得恶意软件具备设备管理员权限,使得清除非常困难。发现上述情况后,我们立即通知了Google公司。Google已经在安卓4.3中修补了上述安全漏洞。但是,现在只有少数最新的智能手机和平板电脑运行这一版本的安卓系统,运行较早版本安卓系统的设备仍然面临风险。同其他安卓木马不同,Obad.a使用大量未公布的漏洞进行感染,这一点同Windows恶意软件非常相似,”卡巴斯基实验室顶级反病毒专家Roman Unuchek解释说。如需了解更多关于Obad.a的传播手段详情,请访问http://www.securelist.com/en/blog/8131/Obad_a_Trojan_now_being_distributed_via_mobile_botn
