Windows-Trojaner DualToy hat es eigentlich auf Android- und iOS-Geräte abgesehen

SicherheitSicherheitsmanagement
Malware Trojaner Virus (Bild: Shutterstock/Blue Island)

DualToy nutzt eine vorhandene USB-Verbindung per iTunes oder Android Debug Bridge. Beides kann der Trojaner jedoch auch selber einrichten. Anschließend installiert er gefährliche Apps auf den mobilen Geräten und stiehlt persönliche Daten.

Der IT-Security-Anbieter Palo Alto Networks hat vor einem Windows-Trojaner gewarnt, dessen eigentliches Ziel es ist, Android- und iOS-Geräte mit Malware zu verseuchen. Die als DualToy bezeichnete Schadsoftware installiert per Sideloading gefährliche Apps auf mobilen Geräten, die über USB mit einem Windows-PC verbunden sind. Die meisten Opfer finden sich derzeit zwar in China, die Sicherheitsforscher haben aber auch Angriffe in den USA, Großbritannien, Spanien, Irland und Thailand registriert.

Android-Geräte manipuliert DualToy über die Android Debug Bridge (ADB), die in der Regel nur auf Computern von Entwicklern oder Nutzern alternativer Android-Versionen wie Cyanogenmod aktiv ist. Allerdings kann DualToy die benötigten Treiber auch über seine Befehlsserver herunterladen und installieren. Wird ein Android-Smartphone erstmals per ADB mit einem PC verbunden, muss auf dem Gerät die Verbindung bestätigt werden. Andernfalls nutzt DualToy eine bereits vorhandene Genehmigung.

Palo Alto Networks (Bild: Palo Alto Networks)

Um iPhones und iPads zu infizieren, nutzt DualToy Apples iTunes-Software. Ist sie nicht vorhanden, werden dessen Komponenten “AppleMobileDeviceSupport” und “AppleApplicationSupport” heruntergeladen und im Hintergrund installiert. Sie enthalten die für die Kommunikation zwischen PC und iOS-Gerät benötigten Treiber. Auch hier muss der Trojaner die Zustimmung des Nutzer für eine Verbindung mit dem mobilen Gerät einholen, falls iPhone oder iPad erstmals verbunden werden.

Ist eine Verbindung hergestellt, installiert DualToy auf Android-Geräten verschiedene als Adware oder Riskware eingestufte Apps. Darüber hinaus ist der Trojaner auch in der Lage, eine modifizierte Version des Tools SuperSU zu installieren, mit dem sich auf gerooteten Geräten die Nutzerrechte des “Superusers” verwaltet lassen.

Von iOS-Geräten stiehlt DualToy indes diverse Geräte- und Systemdaten wie Gerätename, Modellnummer, die eindeutige Seriennummer IMEI, Telefonnummer und die IMSI genannte Nummer zur eindeutigen Identifizierung von Mobilfunknutzern. Darüber hinaus wird versucht, eine gefährliche App auf dem verbundenen iOS-Gerät zu installieren, was laut Paolo Alto Networks derzeit jedoch an einem abgelaufenen Zertifikat scheitert – ein Mangel, den die Hintermänner von DualToy jedoch leicht beheben könnten. Die App selbst sei darauf ausgerichtet, die Apple ID und das zugehörige Passwort zu stehlen.

Erstmals wurde DualToy dem Bericht der Forscher zufolge im Januar 2015 entdeckt. Zu dem Zeitpunkt richtete sich der Trojaner allerdings nur gegen Android-Geräte. Angriffe auf iPhone und iOS beherrscht er erst seit Juni 2016. Mit Stand von August 2016 sei der Trojaner jedoch immer noch aktiv.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.