Categories: CybersicherheitVirus

Babar: Französischer Staatstrojaner hört Skype ab

Die Schadsoftware Babar64 spioniert Messenger-Anwendungen wie Skype und Yahoo, Browser sowie Office-Programme aus. Das haben mehrere Sicherheitsforscher, darunter Mitarbeiter der Unternehmen Cyphort und GData, entdeckt. Ihrer Meinung nach hat ein Staat den Trojaner gesponsert. Die auf Windows-Desktop ausgerichtete Malware stammt vermutlich vom französischen Geheimdienst.

Wie Marion Marschalek vom US-Sicherheitsanbieter Cyphort erklärte, gehe dies aus einem Dokument des kanadischen Geheimdiensts CSEC (PDF) hervor. Dieses hat Der Spiegel im Januar veröffentlicht und stammt aus dem Fundus des Whistleblowers Edward Snowden. Es beschreibt eine ebenfalls “Babar” genannte Malware, hinter der der CSEC Frankreich vermutet.

“Das vorliegende Muster passt gut zu dem, was in dem CSEC-Dokument beschrieben wird”, führt Marschalek im Cyphort-Blog aus. Jedoch gebe es keine zweifelsfreien Beweise für den Vorwurf. Allerdings lasse sich mit Sicherheit sagen, dass Babar fortschrittlicher sei als übliche Malware.

Babar64 spioniert Messenger, Browser und Office-Anwendungen aus. (Bild: Shutterstock)

Wahrscheinlich infiziere das Schadprogramm Windows-Rechner per Drive-by-Download oder über bösartige E-Mail-Anhänge, so Marschalek weiter. Barbar selbst sei eine 32-Bit-DLL-Datei, die in C++ geschrieben sei und sich in Windows-Anwendungen einklinke. Unter anderem sei der Trojaner in der Lage, Tastatureingaben aufzuzeichnen, Screenshots zu erstellen, Telefonieanwendungen abzuhören sowie Instant Messenger auszuspähen. “Babar ist ein vollwertiges Spionage-Tool, das entwickelt wurde, um die Aktivitäten eines Nutzers unbeschränkt auszuspionieren.”

Babar richtet sich gegen die Browser Internet Explorer, Firefox, Opera, Chrome und Safari. Außerdem suche es nach Messengern Skype, Oovoo, Nimbuzz, Google Talk, Yahoo und X-Lite. Auch Office-Anwendungen Word, PowerPoint, Visio, Notepad, Wordpad und Adobe Reader sind potentielle Ziele.

Die Analyse von Babar ergab, dass es als Befehlsserver zwei legitime Websites nutzt. Eine ist die eines Reisebüros in der algerischen Hauptstadt Algier. Die andere Seite, eine türkische Domain, sei derzeit nicht erreichbar.

Erstmals tauchte der Name “Babar”, der einem französischen Kinderbuch entnommen ist, im März 2014 in einem Bericht von Le Monde auf. Unter Berufung auf ein Snowden-Dokument meldete die französische Zeitung, der kanadische Geheimdienst mache den französischen Auslandsnachrichtendienst Direction Générale de la Sécurité Extérieure (DGSE) für Cyberangriffe verantwortlich. Die Kanadier sprachen in dem Zusammenhang von einer “Operation Babar”.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

In Deutschland hat das Zahlungsverhalten 2024 eine deutliche Entwicklung hin zu Sofortüberweisungen und Instant Payment…

2 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago