Erster TOR-Trojaner unter Android

Virenschreiber, die Android-Trojaner entwickeln, verwenden als Muster traditionell die Funktionalität von Windows-Schädlingen. Jetzt wurde eine weitere „Spielart“ von Windows-Trojanern in Android-Schädlingen umgesetzt, und zwar haben wir den ersten Android-Trojaner entdeckt, der als C&C eine Domain in der Pseudo-Zone .onion verwendet. Auf diese weise nutzt der Trojaner das anonyme Netzwerk Tor, das auf einem Netz von Proxy-Servern fußt. Tor gewährleistet den Anwendern nicht nur Anonymität, sondern ermöglicht auch die Platzierung von „anonymen“ Websites in der Domain-Zone .onion, auf die nur in Tor zugegriffen werden kann.

tor_backdoor_01

Bei dem Schadprogramm Backdoor.AndroidOS.Torec.a handelt es sich um den geänderten populären Tor-Client Orbot. Cyberkriminelle haben dieser Anwendung ihren Code hinzugefügt, wobei sich der Trojaner nicht als Orbot ausgibt – er verwendet einfach die Funktionalität dieses Clients.

 tor_backdoor_02

Der Trojaner kann die folgenden Befehle vom С&C empfangen:

 tor_backdoor_03

  • Abfangen eingehender SMS beginnen/beenden.
  • Diebstahl eingehender SMS beginnen/beenden.
  • USSD-Anfrage stellen.
  • Daten über das Telefon an das C&C senden (Telefonnummer, Land, IMEI, Modell, Betriebssystemversion).
  • Liste der auf dem mobilen Gerät installierten Anwendungen an das C&C senden.
  • Eine SMS an die im Befehl angegebenen Nummer senden.

Die Verwendung von TOR hat für Cyberkriminelle sowohl Vor- als auch Nachteile. Zu den Vorteilen gehört, dass ein derartiges C&C nicht abgeschaltet werden kann. Als Nachteil könnte man ansehen, dass zusätzlicher Code nötig ist. Um die Nutzung von Tor für den Schädling Backdoor.AndroidOS.Torec.a möglich zu machen, war weitaus mehr Code nötig als für seine eigentliche Funktionalität.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.