Online-Banking-Trojaner entwickelt sich rasant weiter

Der im Herbst letzten Jahres aufgetauchte Trojaner-Baukasten Carberp wird offenbar rasant weiter entwickelt, berichtet unter anderem der Sicherheitsdienstleister Seculert. F-Secure-Analyst Toni Koivunen bezeichnet ihn bereits als aufsteigenden Stern der Banking-Trojaner-Szene.

Waren die ersten Carberp-Versionen noch recht einfach gestrickt, kann der Trojaner mittlerweile mit einer beeindruckenden Feature-Liste aufwarten. So läuft er auf allen Windows-Versionen einschließlich Windows 7 und kommt dort laut TrustDefender sogar ohne Admin-Rechte aus. Technisch ist das nicht weiter verwunderlich, genügen diese Rechte doch, um sich etwa als Browser-Erweiterung zu registrieren. Damit kann ein Trojaner als so genannter Man-in-the-Browser auch verschlüsselt übertragene Online-Banking-Daten mitlesen und sogar manipulieren.

Außerdem kann Carberp mittlerweile ein befallenes System säubern und so der Konkurrenz entreißen. Die neueste Version verschlüsselt die ausspionierten Daten vor der Übertragung mit einem zufälligen Schlüssel, den der Client beim Kontroll-Server registriert. Bisherige Bots verwendeten für diesen Zweck statische Keys, die fest in das Programm einkodiert sind, was Antiviren-Spezialisten natürlich die Arbeit erleichtert.

Interessant ist dabei vor allem, dass diese Funktionen innerhalb weniger Monate nachgerüstet wurden. Derzeit gibt es in der Szene der Online-Banking-Betrüger einen Nachfolge-Kampf um die Kundschaft des anscheinend nicht mehr weiterentwickelten Zeus-Baukastens. Ob dabei Carberp, SpyEye oder ein Anderer die Oberhand gewinnt, ist noch nicht klar. Es wird aber zunehmend deutlich, dass diese Auseinandersetzung unter anderem über die Features geführt wird und somit in Zukunft mit noch weiter ausgefeilten Trojaner-Versionen zu rechnen ist. (ju)