Triout versteckt sich laut Bitdefender in Android-Apps und protokolliert vom Telefonat bis zum Selfie alles. Wie sich die Malware ausbreitet, ist den Experten aber noch nicht klar.
Kein Betriebssystem ist vor Malware sicher. Auch als sicher geltende Systeme sind nicht vor Angriffen verschont. Je mehr User, umso interessanter ist eine Plattform, ein Betriebssystem für Hacker. Cyberkriminelle suchen immer nach neuen Wegen, Nutzer jeglicher Plattformen auszuspionieren, zu manipulieren oder ihre Daten zu stehlen. Die große Verbreitung von Android-Geräten, von Smartphones über Tablets bis hin zu Smart TVs, hat den Malware-Entwicklern neue Angriffsmöglichkeiten eröffnet. Die meisten dieser Geräte enthalten Mikrofone, Kameras und Ortungshardware, die Kriminelle für ihre Zwecke nutzen können.
An dieser Stelle setzt eine neue Malware an, die Experten von Bitdefender identifiziert haben. Die Android-Spyware namens Triout dient Kriminellen als technologische Grundlage für den Aufbau umfangreicher Überwachungsfunktionen in scheinbar gutartigen Applikationen. Unter anderem ist das Aufzeichnen von Telefongesprächen, das Protokollieren eingehender Textnachrichten, das Aufzeichnen von Videos, das Fotografieren und das Sammeln von GPS-Koordinaten dadurch möglich. All diese Informationen werden an einen von Angreifern kontrollierten Kontroll-Server (C&C, Command & Control) übertragen.
Verbreitung noch unklar
Bisher ist unklar, wie Triout verbreitet wird. Marktplätze für Applikationen oder von Angreifern kontrollierte Domains werden wahrscheinlich als Verbreitungsplattformen für die Schadsoftware Host verwendet. Die Existenz der Spyware wurde zuerst aus Russland gemeldet und die meisten Scans und Berichte dazu kamen bisher aus Israel. Das erste Sample gab es wohl am 15. Mai 2018, als es zu VirusTotal hochgeladen wurde.
An den Command & Control Server werden die umfassenden protokollierten Daten verschickt. Die Software hat die Fähigkeit sich so gut im System zu verstecken, dass sie nur schwer gefunden werden kann. Der Server, an den die Daten verschickt werden, ist seit Mai und ist betriebsbereit.
(Red.)