Spyware Alert

Kein Betriebssystem ist vor Malware sicher. Cyberkriminelle suchen immer nach neuen Wegen, Nutzer jeglicher Plattformen auszuspionieren, zu manipulieren oder ihre Daten zu stehlen. Die große Verbreitung von Android-Geräten, von Smartphones über Tablets bis hin zu Smart TVs, hat den Malware-Entwicklern neue Angriffsmöglichkeiten eröffnet.

Die meisten dieser Geräte enthalten Mikrofone, Kameras und Ortungshardware, die Kriminelle für ihre Zwecke nutzen können.

An dieser Stelle setzt eine neue Malware an, die Experten von Bitdefender identifiziert haben. Die Android-Spyware namens Triout dient Kriminellen als technologische Grundlage für den Aufbau umfangreicher Überwachungsfunktionen in scheinbar gutartigen Applikationen. Diese Überwachungsfunktionen der Spyware umfassen unter anderem das Aufzeichnen von Telefongesprächen, das Protokollieren eingehender Textnachrichten, das Aufzeichnen von Videos, das Fotografieren und das Sammeln von GPS-Koordinaten. All diese Informationen werden an einen von Angreifern kontrollierten Kontroll-Server (C&C, Command & Control) übertragen.

Bisher ist unklar, wie Triout verbreitet wird. Marktplätze für Applikationen oder von Angreifern kontrollierte Domains werden wahrscheinlich als Verbreitungsplattformen für die Schadsoftware Host verwendet.

Die Existenz der Spyware wurde zuerst aus Russland gemeldet und die meisten Scans und Berichte dazu kamen bisher aus Israel. Das erste Sample gab es wohl am 15. Mai 2018, als es zu VirusTotal hochgeladen wurde. Triout wird von Bitdefenders maschinellen Lernalgorithmen erkannt.

Eine Untersuchung durch Bitdefender ergab, dass die Spyware folgenden Fähigkeiten hat:

  • Sie zeichnet jeden Anruf auf (buchstäblich das Gespräch als Mediendatei) und sendet ihn zusammen mit der Anruferkennung an den C&C-Server (incall3.php und outcall3.php).
  • Sie protokolliert jede eingehende SMS-Nachricht, inklusive Text und Absender (script3.php).
  • Sie hat die Fähigkeit, sich selbst zu verstecken.
  • Sie kann alle Anrufprotokolle ("content://call_log/calls", info: callname, callnum, calldate, calltype, callduration) an den C&C (calllog.php) senden.
  • Wann immer der Benutzer ein Bild aufnimmt, entweder mit der Vorder- oder Rückkamera, wird es an die C&C Server gesendet (uppc.php, fi npic.php oderreqpic.php).
  • Sie kann GPS-Koordinaten an die C&C senden (gps3.php)

Der C&C-Server, an den die Anwendung die gesammelten Daten zu senden scheint, ist aktuell betriebsbereit und läuft seit Mai 2018.

Weitere Informationen:

In einem Whitepaper hat das Team von Bitdefender Labs alle Ergebnisse der Untersuchung und Hintergründe zu Triout aufbereitet. Es steht hier zum kostenlosen Download zur Verfügung: https://www.bitdefender.com/files/News/CaseStudies/study/234/Bitdefender-Whitepaper-Triout-The-Malware-Framework-for-Android-That-Packs-Potent-Spyware-Capabilities.pdf
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

hacker auto

Wer kappt bei einem Hacker-Angriff die Internetverbindungen?

Die Angriffe auf vernetzte Fahrzeuge haben spürbar zugenommen, immer mehr Schnittstellen bieten zahlreiche Einfallstore. Security by Design muss deshalb in der Automobilbranche künftig bereits bei der Fahrzeugentwicklung umgesetzt werden.
Linux Logo

Linux Malware: Ein verkanntes und hochlukratives Business

Die Zeiten sind vorbei, in denen Linux als unangreifbar und uninteressant für Cyberkriminelle angesehen wurde. Ganz im Gegenteil: Linux-basierte Betriebssysteme sind ein überaus wertvolles Ziel.
Hacker

Phishing-Angriffe nehmen Spender ins Visier

Phishing bleibt die häufigste Methode für Cyberangriffe. Und gerade in Zeiten von grassierenden Epidemien oder Naturkatastrophen, in denen viele User über Spenden die Betroffenen unterstützen möchten, werden die Helfer nicht selten selbst zu Opfern. Ein…
Hacker Bluetooth

Sweyntooth: 10 neue Sicherheitslücken bei Bluetooth Chips

Beim Thema Sicherheitslücken werden die meisten Menschen zuerst an das Internet denken. Tatsächlich ist das die größte Gefahrenquelle, aber längst nicht die einzige, denn Malware oder Hacker können auch Fehler in anderen Geräteverbindungen ausnutzen.
Insider Threat

Insider-Bedrohungen sind meist das Ergebnis fahrlässigen Verhaltens

Proofpoint veröffentlichte seine weltweite Studie zum Thema Insider-Bedrohungen 2020. So zeigt der Bericht, dass Unternehmen im Durchschnitt jährlich 11,45 Millionen Dollar für die Beseitigung von Insider-Bedrohungen ausgaben und mehr als zwei Monate (77…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!