Malware-ul care vizează platforma Android nu este un subiect nou, iar apariţia unei noi ameninţări nu mai este un subiect fierbinte, însă troianul descoperit de Kaspersky Labs se remarcă prin ingeniozitatea şi complexitatea sa, acesta fiind cea mai avansată ameninţare descoperită până acum pe platforma Google.
Denumit Backdoor.AndroidOS.Obad.a, troianul multifuncţional exploatează două vulnerabilităţi ale platformei Android care au fost necunoscute până acum. Instalarea iniţială foloseşte o primă breşă de securitate în modul de declarare a structurii programului, componentă obligatorie a oricărei aplicaţii Android. După această etapă, troianul exploatează o a doua breşă de securitate şi îşi alocă drepturi administrative fără a se înregistra însă în lista din meniul Settings/Security/Device Administrators, aşa cum o fac alte aplicaţii de securitate, ceea ce, coroborat cu faptul că aplicaţia nu are pictogramă sau interfaţă, o face imposibil de înlăturat şi foarte greu de detectat.
În plus, folosind prima vulnerabilitate folosită în cursul instalării şi anumite buguri din aplicaţia de conversie a codului DEX2JAR, troianul face foarte dificilă analiza codului direct pe telefon, respectiv, pe un alt calculator.
După parcurgerea acestor două prime etape, aplicaţia încearcă să obţină acces root, acesta nefiind însă necesar decât pentru anumite operaţiuni. Aplicaţia va culege mai întâi diferite date private cum ar fi numărul de telefon, IMEI, adresa MAC a interfeţei Bluetooth, numele operatorului şi data şi ora locală, pe care le trimite apoi către un centru de comandă. După activare, aplicaţia încearcă să contacteze şi infecteze şi alte telefoane din jur, trimiţându-le prin intermediul conexiunii Bluetooth un fişier infectat.
Din momentul în care aplicaţia a preluat controlul telefonului şi a reuşit sa se conecteze la centru de comandă, aceasta poate fi folosită pentru diverse operaţiuni, cum ar fi trimiterea de mesaje text la numere cu tarife speciale, copierea datelor personale, inclusiv a celor bancare, utilizarea ca server proxy, descărcarea şi instalarea de cod nou sau executarea locală a comenzilor trimise de server. În plus, aplicaţia foloseşte tot felul de trucuri, cum ar fi blocarea ecranului atunci când execută anumite comenzi, ceea ce ar putea păcăli un utilizator neatent la astfel de detalii, sau decriptarea anumitor module software locale doar după autentificarea la centrul de comandă online.
Kaspersky Labs afirmă că Backdoor.AndroidOS.Obad.a are o răspândire restrânsă în acest moment, însă complexitatea sa, care aminteşte mai degrabă de troienii Windows, îl face un produs interesant. Compania a trimis deja către Google date despre cele două breşe de securitate nou descoperite, acesta fiind si motivul pentru care modul de exploatare a acestora este descris atât de succint.