Kein Betriebssystem ist vor Malware sicher. Cyberkriminelle suchen immer nach neuen Wegen, Nutzer jeglicher Plattformen auszuspionieren, zu manipulieren oder ihre Daten zu stehlen. Die große Verbreitung von Android-Geräten, von Smartphones über Tablets bis hin zu Smart TVs, hat den Malware-Entwicklern neue Angriffsmöglichkeiten eröffnet. Die meisten dieser Geräte enthalten Mikrofone, Kameras und Ortungshardware, die Kriminelle für ihre Zwecke nutzen können.

An dieser Stelle setzt eine neue Malware an, die Experten von Bitdefender identifiziert haben. Die Android-Spyware namens Triout dient Kriminellen als technologische Grundlage für den Aufbau umfangreicher Überwachungsfunktionen in scheinbar gutartigen Applikationen. Diese Überwachungsfunktionen der Spyware umfassen unter anderem das Aufzeichnen von Telefongesprächen, das Protokollieren eingehender Textnachrichten, das Aufzeichnen von Videos, das Fotografieren und das Sammeln von GPS-Koordinaten. All diese Informationen werden an einen von Angreifern kontrollierten Kontroll-Server (C&C, Command & Control) übertragen.

Bisher ist unklar, wie Triout verbreitet wird. Marktplätze für Applikationen oder von Angreifern kontrollierte Domains werden wahrscheinlich als Verbreitungsplattformen für die Schadsoftware Host verwendet.

Die Existenz der Spyware wurde zuerst aus Russland gemeldet und die meisten Scans und Berichte dazu kamen bisher aus Israel. Das erste Sample gab es wohl am 15. Mai 2018, als es zu VirusTotal hochgeladen wurde. Triout wird von Bitdefenders maschinellen Lernalgorithmen erkannt.

Eine Untersuchung durch Bitdefender ergab, dass die Spyware folgenden Fähigkeiten hat:

– Sie zeichnet jeden Anruf auf (buchstäblich das Gespräch als Mediendatei) und sendet ihn zusammen mit der Anruferkennung an den C&C-Server (incall3.php und outcall3.php).
– Sie protokolliert jede eingehende SMS-Nachricht, inklusive Text und Absender (script3.php).
– Sie hat die Fähigkeit, sich selbst zu verstecken.
– Sie kann alle Anrufprotokolle („content://call_log/calls“, info: callname, callnum, calldate, calltype, callduration) an den C&C (calllog.php) senden.
– Wann immer der Benutzer ein Bild aufnimmt, entweder mit der Vorder- oder Rückkamera, wird es an die C&C Server gesendet (uppc.php, fi npic.php oderreqpic.php).
– Sie kann GPS-Koordinaten an die C&C senden (gps3.php)

Der C&C-Server, an den die Anwendung die gesammelten Daten zu senden scheint, ist aktuell betriebsbereit und läuft seit Mai 2018.

In einem Whitepaper hat das Team von Bitdefender Labs alle Ergebnisse der Untersuchung und Hintergründe zu Triout aufbereitet. Es steht hier zum kostenlosen Download zur Verfügung: https://www.bitdefender.com