Smartphone-Trojaner hört Kreditkartendaten


Zum Glück ist der Soundminer getaufte Android-Trojaner nur
das Ergebnis eines Forschungsprojekts einiger Experten von den Universitäten in
Hong Kong und Bloomington (Indiana University, USA). In einem Dokument
beschreiben die Forscher die Malware genauer, in einem Video
demonstrieren sie die Schöpfung anschaulich.

 

Die Besonderheit des Schädlings, der auf Googles
Smartphone-Betriebssystem Android spezialisiert ist: Er überwacht mit dem
infizierten Telefon geführte Gespräche und wartet darauf, dass der Sprecher
relevante Daten wie beispielsweise seine Kreditkartennummer durchgibt. Der
Trojaner erkennt diese Informationen im Sprachstrom.

 

Mit Hilfe diverser Analyseverfahren dampft Soundminer die
relevanten Informationen auf die benötigten Details ein und schickt dann nur
diesen kleinen Teil über das Netzwerk an seine Macher. Dass dies funktioniert,
haben die Forscher nach eigener Auskunft ausführlich unter realistischen Bedingungen
getestet.

 

Um beim Anwender keinen Verdacht aufzukommen zu lassen,
fragt die als herkömmliche Anwendung getarnte Schadsoftware – wäre es ein
realer Angriff, sind Tarnkappen wie Spiele oder Wetter-Anwendungen denkbar –
nach so wenig Berechtigungen wie möglich. Nur den Zugriff auf das Mikrofon muss
der Telefonbesitzer erlauben. Verdächtiges wie Netzwerkzugriff oder Auslesen
des Adressbuchs unterbleibt.

 

Um die mitgeschnittenen Daten dennoch an den Kontrolleur der
Malware zu schicken, bedient sich Soundminer eines raffinierten Tricks. Ein
weiterer Trojaner namens Deliverer übernimmt den Datentransfer. Tarnt sich
dieser als Anwendung, die zum Funktionieren Netzwerkzugriff benötigt, schöpft
der Anwender keinen Verdacht.

 

Da Android prinzipiell den Datenaustausch zwischen zwei
Anwendungen unterbinden kann, bedienen sich die Malware-Forscher eines Umwegs
über die Einstellungen für den Vibrationsalarm. Änderungen an diesen
Einstellungen werden an beliebige Applikationen kommuniziert.

 

Soundminer kodiert die Kreditkarteninformationen so, dass
sie aussehen wie Werte für den Vibrationsalarm. Deliverer kann die
Informationen zurück wandeln und dann über das Netzwerk übertragen. Laut
Dokumentation der Forscher lassen sich auf diesem Weg zwar nur 87 Bit
übertragen. Da Kreditkartendaten aber in 54 Bit passen, ist dieser Umweg
geeignet.

 

Nachdem die Malware-Forscher ihren Schädling nicht
veröffentlichen wollen, bleibt zu hoffen, dass echte Schadsoftwareautoren mit
weniger Raffinesse zu Werke gehen und Trojaner wie Soundminer weiterhin
Forschungsprojekte bleiben. Denn eine Sprachanalyse in Echtzeit auf einer
vergleichsweise schwachbrüstigen Hardware ist eine beachtliche Leistung – und
gleichzeitig immense Gefahr.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht
Michael alles Wissenswerte rund um Schwachstellen in
Microsoft-Produkten und die veröffentlichten Softwareupdates.

 

Comments (0)