Zum Glück ist der Soundminer getaufte Android-Trojaner nur das Ergebnis eines Forschungsprojekts einiger Experten von den Universitäten in Hong Kong und Bloomington (Indiana University, USA). In einem Dokument beschreiben die Forscher die Malware genauer, in einem Video demonstrieren sie die Schöpfung anschaulich.

 

Die Besonderheit des Schädlings, der auf Googles Smartphone-Betriebssystem Android spezialisiert ist: Er überwacht mit dem infizierten Telefon geführte Gespräche und wartet darauf, dass der Sprecher relevante Daten wie beispielsweise seine Kreditkartennummer durchgibt. Der Trojaner erkennt diese Informationen im Sprachstrom.

 

Mit Hilfe diverser Analyseverfahren dampft Soundminer die relevanten Informationen auf die benötigten Details ein und schickt dann nur diesen kleinen Teil über das Netzwerk an seine Macher. Dass dies funktioniert, haben die Forscher nach eigener Auskunft ausführlich unter realistischen Bedingungen getestet.

 

Um beim Anwender keinen Verdacht aufzukommen zu lassen, fragt die als herkömmliche Anwendung getarnte Schadsoftware – wäre es ein realer Angriff, sind Tarnkappen wie Spiele oder Wetter-Anwendungen denkbar – nach so wenig Berechtigungen wie möglich. Nur den Zugriff auf das Mikrofon muss der Telefonbesitzer erlauben. Verdächtiges wie Netzwerkzugriff oder Auslesen des Adressbuchs unterbleibt.

 

Um die mitgeschnittenen Daten dennoch an den Kontrolleur der Malware zu schicken, bedient sich Soundminer eines raffinierten Tricks. Ein weiterer Trojaner namens Deliverer übernimmt den Datentransfer. Tarnt sich dieser als Anwendung, die zum Funktionieren Netzwerkzugriff benötigt, schöpft der Anwender keinen Verdacht.

 

Da Android prinzipiell den Datenaustausch zwischen zwei Anwendungen unterbinden kann, bedienen sich die Malware-Forscher eines Umwegs über die Einstellungen für den Vibrationsalarm. Änderungen an diesen Einstellungen werden an beliebige Applikationen kommuniziert.

 

Soundminer kodiert die Kreditkarteninformationen so, dass sie aussehen wie Werte für den Vibrationsalarm. Deliverer kann die Informationen zurück wandeln und dann über das Netzwerk übertragen. Laut Dokumentation der Forscher lassen sich auf diesem Weg zwar nur 87 Bit übertragen. Da Kreditkartendaten aber in 54 Bit passen, ist dieser Umweg geeignet.

 

Nachdem die Malware-Forscher ihren Schädling nicht veröffentlichen wollen, bleibt zu hoffen, dass echte Schadsoftwareautoren mit weniger Raffinesse zu Werke gehen und Trojaner wie Soundminer weiterhin Forschungsprojekte bleiben. Denn eine Sprachanalyse in Echtzeit auf einer vergleichsweise schwachbrüstigen Hardware ist eine beachtliche Leistung – und gleichzeitig immense Gefahr.

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.