Il nome completo è Backdoor.AndroidOS.Obad, più semplicemente Obad per gli addetti ai lavori. Si tratta di un malware Android scoperto nel corse dell’estate, definito come il più pericoloso tra quelli identificati in tutto il 2013 dai ricercatori di Kaspersky Labs. Un codice maligno in grado di infettare i dispositivi, inviare messaggi SMS a numeri con tariffazione premium, scaricare altre applicazioni corrotte e trasferirle via Bluetooth all’insaputa del malcapitato utente.
La caratteristica che lo rende tanto temibile è però un’altra: lo sviluppatore ha sfruttato una vulnerabilità del sistema operativo precedentemente sconosciuta, che consente ad un malintenzionato di ottenere i privilegi di amministrazione, rimuovendo poi l’app dall’elenco dei software ai quali sono stati assegnati. Questo, in altre parole, rende il trojan praticamente impossibile da eliminare una volta penetrato nel device. Inoltre, tutte le righe di codice sono ben camuffate e questo lo rende quasi invisibile anche agli strumenti antivirus più avanzati.
Le sue azioni sono controllate mediante un server remoto (Command & Control Server), il cui indirizzo è nascosto da una doppia cifratura, un accorgimento che permette all’autore di agire indisturbato e impedisce alle autorità di mettere fuori uso Obad. Una volta installata l’applicazione corrotta, questa chiede i permessi per interagire con la lockscreen, un’autorizzazione che spesso viene concessa a software per la personalizzazione di Android. Poi viene scaricato in automatico un elenco di numeri ai quali inviare gli SMS, smangiando così il credito dell’utente e generando enormi profitti per chi ha messo a punto il malware.
La distribuzione avviene tramite botnet, con un semplice link per il download incluso nei messaggi oppure con una versione “fake” di Play Store. Google ha corretto la vulnerabilità sfruttata in Android 4.3 Jelly Bean e Android 4.4 KitKat, dunque ad essere maggiormente esposti sono tutti i dispositivi fermi alle versioni precedenti della piattaforma. Il consiglio da seguire per evitare di inciampare in rischi di questo tipo è sempre lo stesso: diffidare dagli APK distribuiti al di fuori di Google Play e prestare sempre attenzione alle autorizzazioni concesse in fase di installazione.