SpyEye zockt Nutzer ab – und filmt sie dabei

Die Sicherheitsexperten von Kaspersky haben eine neue Variante des Online-Banking-Trojaners SpyEye gesichtet, die seinem Namen alle Ehre macht: Der Bot bringt ein Plug-in mit, das zur Beobachtung des Opfers per Webcam dient.

Auf dem infizierten System manipuliert flashcamcontrol.dll die Einstellungen des Flash-Players so, dass ausgewählte Webseiten ohne Rückfrage auf Kamera und Mikrofon zugreifen dürfen. Bei den betroffenen Seiten handelt es sich laut Kaspersky pikanterweise um die Internetpräsenzen deutscher Banken.

Ruft der Nutzer eine der betroffenen Bankenseiten auf, bettet SpyEye ein Flash-Applet in den HTML-Code ein. Dieses überträgt das aufgezeichnete Video samt Ton ungefragt per Real Time Messaging Protocol an einen Server der Botnetz-Betreiber. Wofür er das tut, ist derzeit noch unklar. Kaspersky-Sicherheitsexperte Dmitry Tarakanov zufolge könnte es Teil eines umfassenderen Angriffs sein – beispielsweise ließen sich damit telefonische PIN-Bestätigungen mitschneiden.

Der Flash Player bietet Entwicklern eine Schnittstelle, um auf Kamera und Mikrofon eines Rechners zuzugreifen. Will eine Seite diese Funktion zum ersten Mal benutzen, fragt Flash normalerweise beim Benutzer nach, ob er dies erlauben will. Das SpyEye-Plug-in manipuliert die Flash-Einstellungen auf dem infizierten Rechner und unterbindet damit die Rückfrage.

Bei den seit Jahresbeginn analysierten SpyEye-Varianten hat Kaspersky bislang 35 Plug-ins protokolliert. Diese rüsten den Trojaner laufend mit neuen Funktionen nach. Die Entwicklung des eigentlichen Bots scheint hingegen still zu stehen: Dem Bericht zufolge sind seit der im Herbst vergangenen Jahres veröffentlichten Version 1.3.48 keine Updates mehr aufgetaucht. (rei)