Obad.a usa Bluetooth y las conexiones WiFi para infiltrarse a dispositivos cercanos y permite a los atacantes controlar el móvil con comandos vía mensajes SMS. Inicialmente el troyano es distribuido por mensajes de texto y no hay ninguna indicación de que la infección esté en Google Play; el problema son las descargas desde fuentes alternas.
Este malware explota un bug de Android que antes no se conocía y esto le permite tener acceso al contenido restringido y al funcionamiento del smartphone. Además, Obad.a también se aprovecha de los errores en un componente llamado DEX2JAR y otro relacionado con el archivo AndroidManifest.xml. Estos últimos detalles hacen que el malware sea más difícil de revertir y como el troyano funciona en background mode, es complicado detectarlo y analizarlo.
Unuchek menciona que “al explotar estas vulnerabilidades, las aplicaciones maliciosas pueden gozar de privilegios de administrador sin aparecer en la lista de aplicaciones que tienen dichos privilegios” y también agregó que “como resultado de esto, es imposible borrar el programa malicioso del smartphone después de que adquiere los privilegios extendidos”.
El malware ofrece una variedad considerable de características avanzadas, sobre todo el hecho de que pueda ser controlado por SMS y la capacidad para recibir datos de los dispositivos infectados. Estas características y la habilidad del Obad.a para tener privilegios de administrador y mantenerse en las sombras sin ser detectado aún es un tanto irrelevante si se le compara con los mejores troyanos de Windows como aquellos basados en ZeuS, TDL o rootkits.
Por ahora, las defensas de Google parecen ser suficientes para combatir al Obad.a y su transmisión vía SMS y Bluetooth por fuentes alternas lo hace difícil de instalar. A pesar de que Obad.a todavía no es del todo perfecto, el tiempo invertido en la creación de este troyano y la habilidad que se debió haber necesitado para desarrollarlo son un indicador de que los troyanos para Android podrían volverse mucho más sofisticados en poco tiempo.
Referencia: Securelist