Windows-Trojaner DualToy greift Android und iOS an

Kürzlich wurde ein trojanisches Programm unter Windows entdeckt, das in der Lage ist, andere Schädlinge auf Android- und iOS-Geräte zu laden, wenn diese via USB mit einem infizierten Computer verbunden sind.

Nach Angaben von Palo Alto Networks tauchte der Trojaner mit dem Namen DualToy vor anderthalb Jahren im Netz auf und lud zunächst unerwünschte Software auf Android-Geräte, unter anderem Adware. Innerhalb eines halben Jahres entwickelte sich der Schädling weiter und begann auch iOS-Gadgets anzugreifen, indem er einen App Store Client von einem Drittanbieter zum Abfangen von Benutzername und Passwort für iTunes installierte. „Als sich DualToy im Januar 2015 auszubreiten begann, konnte er ausschließlich Android-Geräte infizierten“, bezeugt der Leitende Virenanalyst von Palo Alto, Claud Xiao. „Das erste Sample von DualToy, das iOS-Geräte infizierten kann, entdeckten wir am 7 Juni 2015. Später, im Jahr 2016, erschien eine neue Variante.“

Auf welche Weise DualToy auf Windows-Rechner gelangt, ist bisher noch nicht klar. Ist er in einen PC eingedrungen, so sucht der Schädling den Forschern zufolge nach iTunes und dem Befehlszeilentool Android Debug Bridge (ADB). Findet er nichts davon, so lädt der Schädling entsprechende Treiber, um die Infektion von mobilen Geräten beim Anschluss an den Computer zu gewährleisten. „Auch wenn sich der Bedrohungslevel senken lässt, indem man diesen Angriffsvektor mit Hilfe zusätzlicher Mechanismen einschränkt (beispielsweise durch die Aktivierung von ADB oder durch Sandbox-Funktionen unter iOS), zeigt DualToy uns einmal mehr, wie Cyberkriminelle USB-Sideloading für Angriffe auf mobile Geräte nutzen können und dass sich Schädlinge plattformübergreifend ausbreiten“, schreibt Xiao.

Aktuell hat Palo Alto 8.000 individuelle Samples von DualToy registriert – die Zahl der Infektionen konnten wir bisher nicht bestimmen. Das Risiko von Angriffen auf iOS ist nach Einschätzung des Unternehmens nicht besonders hoch, da das Apple-Zertifikat, das der Schädling für die Installation des gefälschten App Store Clients verwendet, abgelaufen ist.

Die Forscher wiesen zudem darauf hin, dass die Technik Sideloading (Installation über eine andere Plattform) in den letzten zwei Jahren schon mehr als einmal für Angriffe auf mobile Geräte eingesetzt wurde. „Dieser Angriffsvektor wird bei Cyberverbrechern immer beliebter“, stellt Xiao fest. „Man denke nur an WireLurker, ein Schädling, der bösartige Apps auf SIM-Lock- iPhones installierte. Das Spionage-Toolkit RCS von HackingTeam lud seine mobilen Module von infizierten PCs und Macs auf iOS-Geräte mit Jailbreak und auf BlackBerrys.“

Zum gegenwärtigen Zeitpunkt greift DualToy in erster Linie chinesische Anwender an, doch die Forscher konnten auch Infektionen in den USA, Großbritannien, Thailand, Spanien und Irland beobachten. Nachdem er ins System eingedrungen ist, lädt der Schädling vom C&C die Datei adb.exe – das Standard-ADB-Tool für Windows-Clients. Die neusten Varianten von DualToy werfen tadb.exe, einen maßgeschneiderten ADB-Client, auf den Maschinen der Opfer ab. Der Trojaner lädt zudem die Installer AppleMobileDeviceSupport64.msi und AppleApplicationSupport64.msi, die zum offiziellen iTunes-Paket für Windows gehören.

Auf Android-Geräte lädt DualToy einige Game-Apps in chinesischer Sprache – offensichtlich kassieren die Cyberverbrecher für jede Installation. Auf iOS-Geräte lädt der Trojaner, wie schon erwähnt, einen gefälschten App Store, um die Zugangsdaten für iTunes zu stehlen. Der gefakte App Store ist laut Xiao auch keine Neuheit: „Diese Anwendung ist nur eine weitere Variante des iOS App Store von einem Drittentwickler, wie zum Beispiel auch ZergHelper. Bezüglich seines Verhaltens ist er identisch mit AceDeceiver. Beim Erststart fordert diese Anwendung den Nutzer auf, seine Apple ID und sein Passwort einzugeben.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.