Ergebnisse der Analyse des ersten Linux Online-Banking-Trojaner „Hand of Thief“

Viren

Sicherheitsexperten haben schon sehr früh zu Beginn des Online-Bankings auf die möglichen Gefahren aufmerksam gemacht. Viren für Microsoft- oder Apple-Betriebssysteme sind heutzutage nichts Neues. Der Softwarehersteller Avast fand im August 2013 den ersten Trojaner, der Online-Banking-Daten von Linux-Nutzern ausspähen soll. Betroffen sind wahrscheinlich 15 verschiedene Distributionen, darunter auch die beliebte Einsteiger-Variante Ubuntu. Entdeckt wurde die Software nicht durch Honeypots oder Benutzer-Einsendungen, sondern für 2000 US-Dollar in einem einschlägigen Internetforum. Die Schöpfer werden in Russland vermutet.

Von der ersten Entdeckung bist jetzt folgten genaue Analysen dieses Schadprogramms. Wie nicht anders zu erwarten war, wurde viel Aufwand in die Entwicklung der Software investiert. Der größte Teil des Programmcodes ist verschlüsselt und verfügt über ausgefeilte Schutzmechanismen. „Hand of Thief“ ist mithilfe des Systemtools cpuinfo in der Lage herauszufinden, ob das aktuelle System eine virtualisierte Lösung (VM) oder ein „reelles“ System ist. Auch die Nutzung der Funktion chroot, zum Abändern des Rootverzeichnisses, kann festgestellt werden. Wird eine VM oder ein System mit chroot festgestellt, so beendet sich die schadhafte Software. Wird keiner dieser Faktoren ermittelt, so beginnt die Installation.

Dabei wird, wie es bei Trojanern üblich ist, dafür gesorgt, dass dieser bei Systemstart automatisch mit aufgerufen wird. Infizierte Systeme lassen sich an dem Vorhandensein folgender Datei identifizieren: ~/.config/autostart/system-firewall.desktop

Es handelt sich allerdings nicht um den eigentlichen Schadcode, sondern um eine Aufrufroutine. Im tmp-Ordner liegt nach erfolgreichem Starten die Datei update_db, die als Shared Object in sämtliche Prozesse injiziert wird. Diese aggressive Eigenschaft zeigt, wie tief die Verwurzelung in das Betriebssystem reicht. Wie am oben genannten Pfad zu erkennen ist, muss der Benutzer kein Root-Benutzer, sondern kann auch ein normaler Anwender sein.

Ist die Injektion erfolgreich verlaufen, so werden zwei Threads gestartet. Der eine Thread initiiert Mechanismen um in den gängigen Browsern (Chrome, Chromium, Firefox) Formulardaten abgreifen zu können. Der andere Thread übernimmt die Kommunikation und damit den Transfer zu dem entsprechenden Kontroll-Server. Dort werden die Daten der sich im Umlauf befindenden Trojaner gesammelt und gegebenenfalls gezielt Steuerkommandos an die Trojaner übertragen.

Es sind nicht nur Abwehr-Funktionen bei der Installation vorhanden, sondern auch während der Ausführung. Analysetools wie tcpdump oder wireshark werden vom Trojaner identifiziert und der verändert sein Verhalten, in dem die Kommunikation mit dem Kontroll-Server eingestellt wird. Beim Dekompilieren fanden die Spezialisten eine Funktion, die auf der Konsole eine ASCII-Art und Nachricht des Programmierers darstellt: „Coded by Hand of Thief“ mit neben stehendem Baum, auf dem eine Eule in einer Sternennacht sitzt.

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.