News

Windows-Trojaner DualToy greift Android und iOS an

Kürzlich wurde ein trojanisches Programm unter Windows entdeckt, das in der Lage ist, andere Schädlinge auf Android- und iOS-Geräte zu laden, wenn diese via USB mit einem infizierten Computer verbunden sind.

Nach Angaben von Palo Alto Networks tauchte der Trojaner mit dem Namen DualToy vor anderthalb Jahren im Netz auf und lud zunächst unerwünschte Software auf Android-Geräte, unter anderem Adware. Innerhalb eines halben Jahres entwickelte sich der Schädling weiter und begann auch iOS-Gadgets anzugreifen, indem er einen App Store Client von einem Drittanbieter zum Abfangen von Benutzername und Passwort für iTunes installierte. „Als sich DualToy im Januar 2015 auszubreiten begann, konnte er ausschließlich Android-Geräte infizierten“, bezeugt der Leitende Virenanalyst von Palo Alto, Claud Xiao. „Das erste Sample von DualToy, das iOS-Geräte infizierten kann, entdeckten wir am 7 Juni 2015. Später, im Jahr 2016, erschien eine neue Variante.“

Auf welche Weise DualToy auf Windows-Rechner gelangt, ist bisher noch nicht klar. Ist er in einen PC eingedrungen, so sucht der Schädling den Forschern zufolge nach iTunes und dem Befehlszeilentool Android Debug Bridge (ADB). Findet er nichts davon, so lädt der Schädling entsprechende Treiber, um die Infektion von mobilen Geräten beim Anschluss an den Computer zu gewährleisten. „Auch wenn sich der Bedrohungslevel senken lässt, indem man diesen Angriffsvektor mit Hilfe zusätzlicher Mechanismen einschränkt (beispielsweise durch die Aktivierung von ADB oder durch Sandbox-Funktionen unter iOS), zeigt DualToy uns einmal mehr, wie Cyberkriminelle USB-Sideloading für Angriffe auf mobile Geräte nutzen können und dass sich Schädlinge plattformübergreifend ausbreiten“, schreibt Xiao.

Aktuell hat Palo Alto 8.000 individuelle Samples von DualToy registriert – die Zahl der Infektionen konnten wir bisher nicht bestimmen. Das Risiko von Angriffen auf iOS ist nach Einschätzung des Unternehmens nicht besonders hoch, da das Apple-Zertifikat, das der Schädling für die Installation des gefälschten App Store Clients verwendet, abgelaufen ist.

Die Forscher wiesen zudem darauf hin, dass die Technik Sideloading (Installation über eine andere Plattform) in den letzten zwei Jahren schon mehr als einmal für Angriffe auf mobile Geräte eingesetzt wurde. „Dieser Angriffsvektor wird bei Cyberverbrechern immer beliebter“, stellt Xiao fest. „Man denke nur an WireLurker, ein Schädling, der bösartige Apps auf SIM-Lock- iPhones installierte. Das Spionage-Toolkit RCS von HackingTeam lud seine mobilen Module von infizierten PCs und Macs auf iOS-Geräte mit Jailbreak und auf BlackBerrys.“

Zum gegenwärtigen Zeitpunkt greift DualToy in erster Linie chinesische Anwender an, doch die Forscher konnten auch Infektionen in den USA, Großbritannien, Thailand, Spanien und Irland beobachten. Nachdem er ins System eingedrungen ist, lädt der Schädling vom C&C die Datei adb.exe – das Standard-ADB-Tool für Windows-Clients. Die neusten Varianten von DualToy werfen tadb.exe, einen maßgeschneiderten ADB-Client, auf den Maschinen der Opfer ab. Der Trojaner lädt zudem die Installer AppleMobileDeviceSupport64.msi und AppleApplicationSupport64.msi, die zum offiziellen iTunes-Paket für Windows gehören.

Auf Android-Geräte lädt DualToy einige Game-Apps in chinesischer Sprache – offensichtlich kassieren die Cyberverbrecher für jede Installation. Auf iOS-Geräte lädt der Trojaner, wie schon erwähnt, einen gefälschten App Store, um die Zugangsdaten für iTunes zu stehlen. Der gefakte App Store ist laut Xiao auch keine Neuheit: „Diese Anwendung ist nur eine weitere Variante des iOS App Store von einem Drittentwickler, wie zum Beispiel auch ZergHelper. Bezüglich seines Verhaltens ist er identisch mit AceDeceiver. Beim Erststart fordert diese Anwendung den Nutzer auf, seine Apple ID und sein Passwort einzugeben.“

Quelle: Threatpost

Windows-Trojaner DualToy greift Android und iOS an

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach