Trojaner DualToy greift Android- und iOS-Geräte über Windows-PCs an

Die neu entdeckte, “DualToy” genannte Schadsoftware installiert per Sideloading auf mobilen Geräten, die über USB mit einem Windows-PC verbunden sind, gefährliche Apps. Davor hat der IT-Security-Anbieter Palo Alto Networks gewarnt. Erstmals wurde DualToy den Forschern zufolge im Januar 2015 entdeckt. Damals richtete sich der Trojaner allerdings nur gegen Android-Geräte. Angriffe auf iOS sind ihm seit Juni 2016 möglich. Die Opfer finden sich derzeit vor allem in China, es sind aber auch Angriffe aus den USA, Großbritannien, Spanien, Irland und Thailand bekannt.

Android-Geräte greift DualToy über die Android Debug Bridge (ADB) an. Die ist in der Regel nur auf Computern von Entwicklern oder Nutzern alternativer Android-Versionen wie CyanogenMod aktiv. Allerdings kann DualToy die erforderlichen Treiber auch herunterladen und selbst installieren. Wird ein Android-Smartphone per ADB erstmals mit einem PC verbunden, muss auf dem Gerät die Verbindung bestätigt werden. Andernfalls nutzt DualToy eine bereits vorhandene Genehmigung.

Um iOS-Geräte anzugreifen, nutzt DualToy die iTunes-Software. Ist sie nicht schon vorhanden, werden die Komponenten “AppleMobileDeviceSupport” und “AppleApplicationSupport” heruntergeladen und im Hintergrund installiert. Damit erhält die Malware die für die Kommunikation zwischen PC und iOS-Gerät benötigten Treiber. Auch hier muss der Trojaner die Zustimmung des Nutzers für eine Verbindung mit dem mobilen Gerät einholen, falls iPhone oder iPad erstmals verbunden werden.

Sobald eine Verbindung hergestellt ist, installiert DualToy auf Android-Geräten diverse Adware oder als Riskware eingestufte Apps. Der Trojaner kann aber auch eine modifizierte Version des Tools SuperSU installieren, mit dem sich auf gerooteten Geräten die Nutzerrechte des “Superusers” verwaltet lassen.

Von iOS-Geräten holt sich DualToy zudem Geräte- und Systemdaten wie Gerätename, Modellnummer, die eindeutige Seriennummer IMEI, Telefonnummer und die IMSI genannte Nummer, die zur eindeutigen Identifizierung von Mobilfunknutzern dient. Außerdem versucht DualToy, eine gefährliche App auf dem verbundenen iOS-Gerät zu installieren. Laut Paolo Alto Networks scheitert das derzeit noch an einem abgelaufenen Zertifikat. Das könnten die Hintermänner von DualToy jedoch leicht beheben. Diese App sei dafür gedacht, die Apple ID und das zugehörige Passwort zu stehlen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.