English

BackDoor-Trojaner - Durchs Hintertürchen zum Ziel

von VPNHaus | 27.03.2019 |Cybercrime, Cybersecurity Strategy, Data Security

Unternehmen investieren mittlerweile viel Zeit und Geld, um Ihre Informationen zu schützen. Ob die Anstrengungen immer gezielt und nachhaltig genug sind sei dahingestellt, aber zumindest ist auf breiter Front der Wille zur Absicherung erkennbar. Das sich an der Zahl der Sicherheitsvorfälle trotzdem wenig ändert, und wenn, dann nur in die falsche Richtung, hat oft etwas mit der Natur des Menschen zu tun. Viel Sicherheit hilft viel, leider behindert sie auch die Arbeit und das Freizeitvergnügen. Nicht umsonst stehen immer mehr die „weichen“ Faktoren wie die Akzeptanz der Sicherheitsmaßnahmen im Unternehmen im Mittelpunkt der Sicherheitskonzepte.

Awareness-Maßnahmen helfen dabei, diese Akzeptanz herzustellen, doch häufig greifen die vermittelten Themen zu kurz. Der Fokus liegt in der Regel auf dem Unternehmen und seinem Perimeter, die private Lebenswelt kommt, wenn überhaupt, nur am Rande darin vor. Dass das ein großer Fehler ist, beweist (unter anderem) der aktuelle Mobile Threat Report von McAfee. Darin wird eine neue Art von Trojanern wie TimpDoor beschrieben, die sich auf das Android Betriebssystem spezialisiert haben. Diese Trojaner richten eine Hintertür im Handy oder Tablet ein, über das Angreifer beliebigen Code auf dem Endgerät ausführen können – auch wenn das Endgerät mit dem Firmennetz verbunden ist.

Trojaner, auch für Android, sind natürlich nicht neu. DressCode, Guerilla oder Rootnik gehören alle zu relativ aktuellen Schadcode-Familien, die das Einrichten einer Hintertür zum Ziel hatten. Doch TimpDoor ist deswegen anders, weil es den Verbreitungsmechanismus verändert hat. Die herkömmlichen Trojaner waren in der Regel in Apps oder Cheats versteckt, die über den Google Play Store heruntergeladen wurde, sozusagen auf dem offiziellen Weg. Das ist aber mittlerweile zunehmend schwerer geworden, weil Google seine Scanning- und Abwehrmaßnahmen verstärkt hat. TimpDoor umgeht diese Beschränkung, indem es SMS verwendet, um direkt andere Nutzer anzusprechen und diese dazu zu bewegen, die App aus einer externen Quelle herunterzuladen. Der Trojaner nutzt dazu eine angebliche Sprachnachricht als Köder, die das Opfer über einen Link abspielen kann. Der Link enthält detaillierte Informationen, wie das normalerweise in Android aktive Verbot der Installation aus Drittquellen umgangen werden kann. Einmal angeklickt, installiert sich der Trojaner auf dem Endgerät und spielt auch die (Nonsens)-Sprachnachrichten ab.

Frühe TimpDoor-Versionen waren auf HTTP-Datenverkehr beschränkt, der über einen eigenen Proxy weitergeleitet wurde. Die neueren Varianten können jeden Netzverkehr über SOCKS transparent routen. Mehr als den Tunnel zum Opfer herzustellen und zu halten, kann TimpDoor bisher nicht. Es ist allerdings nur eine Frage der Zeit, bis die Angreifer weitere Funktionen in die Malware integrieren. Schon im letzten Dezember war TimpDoor der am meisten verbreitete BackDoor-Trojaner in den USA. Damit könnten beispielsweise ganz wunderbar die momentan laufenden Sextortion-Kampagnen ausgestattet werden, die mit angeblich aufgezeichneten Sex-Videos der Nutzer drohen. Anstelle Lösegeld zu fordern, ließe sich auch ein Klick auf einen Link fordern, um eine angebliche Stellungnahme abzugeben. Sicherheitsanalysten von Barracuda Networks haben herausgefunden, dass es doppelt so wahrscheinlich ist, dass Mitarbeiter Ziel eines Sextortion-Angriffs werden, als durch Business Email Compromise (BEC), auch als CEO-Fraud bekannt.

Das Problem der verseuchten Handys und Tablets ist nicht, wie oben schon angemerkt, dass dort private Fotos und Informationen abgegriffen werden können. Das ist zwar unangenehm, aber nur für das Individuum. Aus Unternehmenssicht viel schlimmer sind die Folgen, falls ein solches Endgerät unkontrolliert Verbindung mit dem Firmennetz aufnehmen kann. Dann sind alle Perimeter-Schutzmaßnahmen auf einen Schlag ausgehebelt und die Angreifer besitzen einen flexiblen Brückenkopf mit im Firmen-LAN. Dagegen können sich Firmen nur durch ein Bring-your-own-Device Konzept (BYOD) wehren, dass private Endgeräte in eine Sandbox einsperrt und nur abgeschottete Bereiche des Geräts in das LAN lässt. Ebenfalls wirkungsvoll ist die Segmentierung des eigenen Netzes mit einem sinnvollen und aktuellen Rollen- und Rechtekonzept. Und zu guter Letzt sollten kontinuierliche Awareness-Maßnahmen das Bewusstsein für solche Gefahren im privaten Bereich schärfen.

zurück zur Übersicht

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK