Categories: CybersicherheitVirus

Babar: Französischer Staatstrojaner hört Skype ab

Die Schadsoftware Babar64 spioniert Messenger-Anwendungen wie Skype und Yahoo, Browser sowie Office-Programme aus. Das haben mehrere Sicherheitsforscher, darunter Mitarbeiter der Unternehmen Cyphort und GData, entdeckt. Ihrer Meinung nach hat ein Staat den Trojaner gesponsert. Die auf Windows-Desktop ausgerichtete Malware stammt vermutlich vom französischen Geheimdienst.

Wie Marion Marschalek vom US-Sicherheitsanbieter Cyphort erklärte, gehe dies aus einem Dokument des kanadischen Geheimdiensts CSEC (PDF) hervor. Dieses hat Der Spiegel im Januar veröffentlicht und stammt aus dem Fundus des Whistleblowers Edward Snowden. Es beschreibt eine ebenfalls “Babar” genannte Malware, hinter der der CSEC Frankreich vermutet.

“Das vorliegende Muster passt gut zu dem, was in dem CSEC-Dokument beschrieben wird”, führt Marschalek im Cyphort-Blog aus. Jedoch gebe es keine zweifelsfreien Beweise für den Vorwurf. Allerdings lasse sich mit Sicherheit sagen, dass Babar fortschrittlicher sei als übliche Malware.

(Bild: Shutterstock)
Babar64 spioniert Messenger, Browser und Office-Anwendungen aus. (Bild: Shutterstock)

Wahrscheinlich infiziere das Schadprogramm Windows-Rechner per Drive-by-Download oder über bösartige E-Mail-Anhänge, so Marschalek weiter. Barbar selbst sei eine 32-Bit-DLL-Datei, die in C++ geschrieben sei und sich in Windows-Anwendungen einklinke. Unter anderem sei der Trojaner in der Lage, Tastatureingaben aufzuzeichnen, Screenshots zu erstellen, Telefonieanwendungen abzuhören sowie Instant Messenger auszuspähen. “Babar ist ein vollwertiges Spionage-Tool, das entwickelt wurde, um die Aktivitäten eines Nutzers unbeschränkt auszuspionieren.”

Babar richtet sich gegen die Browser Internet Explorer, Firefox, Opera, Chrome und Safari. Außerdem suche es nach Messengern Skype, Oovoo, Nimbuzz, Google Talk, Yahoo und X-Lite. Auch Office-Anwendungen Word, PowerPoint, Visio, Notepad, Wordpad und Adobe Reader sind potentielle Ziele.

Die Analyse von Babar ergab, dass es als Befehlsserver zwei legitime Websites nutzt. Eine ist die eines Reisebüros in der algerischen Hauptstadt Algier. Die andere Seite, eine türkische Domain, sei derzeit nicht erreichbar.

Erstmals tauchte der Name “Babar”, der einem französischen Kinderbuch entnommen ist, im März 2014 in einem Bericht von Le Monde auf. Unter Berufung auf ein Snowden-Dokument meldete die französische Zeitung, der kanadische Geheimdienst mache den französischen Auslandsnachrichtendienst Direction Générale de la Sécurité Extérieure (DGSE) für Cyberangriffe verantwortlich. Die Kanadier sprachen in dem Zusammenhang von einer “Operation Babar”.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Malware-Ranking Dezember: Ransomware-Gruppe FunkSec nutzt KI

FunkSec setzt auf doppelte Erpressung / CPR zweifelt jedoch an der Glaubwürdigkeit der Gruppe

4 Stunden ago

WE Fashion geht in die Oracle Cloud

Einzelhändler will die Effizienz und Sicherheit der Einzelhandels- und Lagerverwaltung steigern und Omnichannel-Geschäft ausbauen.

4 Stunden ago

Schwarz IT launcht KI-generierte Unternehmensstimme

Für die "Voice of Schwarz IT“ stellten Mitarbeitende ihre Stimmen zur Verfügung. Die KI-Lösung soll…

8 Stunden ago

„AI Defense“ von Cisco sichert KI-Transformation für Unternehmen

End-to-End-Lösung schützt sowohl die Entwicklung als auch den Einsatz von KI-Anwendungen.

1 Tag ago

HYCU: Wachsende Herausforderungen für Backup, Recovery und Cyberresilienz durch KI

Daten-Trends 2025: Geschwindigkeit, mit der neue SaaS-Plattformen und Datenquellen geschützt werden können, muss drastisch erhöht…

1 Tag ago

Von digitalen zu intelligenten Netzen: Breitband-Trends für 2025

Bandbreitenstarke Glasfasertechnologie bietet großes Potenzial für Homeoffice, Campusnetze sowie die industrielle Automatisierung.

2 Tagen ago