Software
Banking-Trojaner für Linux analysiert
Forscher des Antivirusherstellers Avast haben eine detaillierte Analyse des mutmaßlich ersten Banking-Trojaners veröffentlicht. Demnach haben sich die Entwickler besonders Mühe gegeben, den Schädling vor einer Entdeckung zu schützen.
Mirko Lindner
Bereits Anfang des Monats hatten Sicherheitsexperten der EMC-Tochter RSA
einen neuen Trojaner entdeckt, der unter Linux Bankkonten abgreifen kann. »Hand of Thief«, so der Name des Schädlings, wurde auf diversen Untergrund-Foren für 2000 US-Dollar angeboten. Hergestellt wurde die Software laut RSA durch eine professionelle Truppe aus Russland.
Wie die RSA weiterhin schreibt, soll der Schädling im Vergleich mit Banking-Trojanern für andere Plattformen noch relativ primitiv sein. Die Verbreitungs erfolgt über den Browser oder per E-Mail. Die Software selbst nutzt keine Lücke in Linux aus. Dementsprechend muss der Trojaner direkt vom Anwender installiert werden, bevor er seine Arbeit aufnehmen kann. Die Macher haben jedoch bereits angekündigt, dass ihr Produkt demnächst ein Update erfahren soll, das es auf eine Stufe mit den Windows-Pendants stellt. Eine Anhebung des Preises auf 3.000 US-Dollar ist bereits angekündigt, wobei weitere Updates jeweils 550 US-Dollar kosten sollen.
Nun hat der Antivirenhersteller Avast eine detaillierte Analyse des Schädlings veröffentlicht. Dabei zeigen sich die Forscher vor allem über den Aufwand, den die Ersteller in die Tarnung gesteckt haben, überrascht. So sei die Malware beispielsweise größtenteils verschlüsselt und verfüge über zahlreiche Funktionen zur Prüfung der Umgebung, auf der sie ausgeführt wird.
avast.com
ASCII-Art des Schädlings »Hand of Thief«
Nach dem Start versucht sie beispielsweise herauszufinden, ob sie in einer virtuellen Maschine ausgeführt wurde. Dazu wertet sie diverse für eine virtuelle Umgebung typische Strings aus. Wurde sie in einer virtuellen Umgebung gestartet, beendet sie sich. Ist sie sich sicher, dass sie nicht auf einem virtuellen System läuft, beginnt sie mit der Infektion. Dazu installiert sie unter ».config/autostart« eine neue Autostart-Regel, die sich als eine »System Firewall« tarnt, und entschlüsselt anschließend den eigentlichen Schadcode. Dieser startet zwei Threads: der eine injiziert einen Formgrabber in die bekanntesten Browser wie Firefox, Chrome oder Chromium; der andere übernimmt die Kommunikation mit einem zentralen Server, an den abgegriffene Daten verschlüsselt übermittelt werden. Zugleich ermöglicht der Schädling, dem Angreifer eine Reverse Shell zu starten, wodurch er die Kontrolle über das System erlangt.
Wie Avast weiterhin schreibt, versucht sich der Schädling aber auch bei laufendem Betrieb zu tarnen. So stoppt er beispielsweise die Übermittlung der Daten, wenn auf dem System ein Netzwerksniffer wie tcpdump oder Wireshark gestartet wurde. Zudem verfügt die Software über eine Funktion, die eine Art ASCII-Bild exportiert.
Die Software selbst hat keine Funktionen zur Reproduktion. Laut Avast reproduziert sich der Trojaner entweder durch unbedarfte Desktop-Anwender oder aber als Malware, die durch einen kompromittierten Server verteilt wird. Hierfür können beispielsweise Lücken in einem Webserver ausgenutzt werden. Auch Dienste auf einem Server könnten für eine Verbreitung ausgenutzt werden. Wie verbreitet der Linux-Trojaner ist und ob er auch bereits aktiv ausgenutzt wird, hat Avast nicht bekannt gebeten. Das Unternehmen warnt allerdings vor einer illusorischen Sicherheit, die manch einen Linux-Anwender befallen hat, und stellt fest, dass auch die Nutzer eines freien Betriebssystems nicht vor Schädlingen sicher sind.
){kind=small}
){kind=small}
