Suchen

Schadcode für VoIP-Lauschangriffe im Internet veröffentlicht Skype-Trojaner kann VoIP-Telefonate mitschneiden und als MP3 versenden

Redakteur: Stephan Augsten

Im Internet wurde der Code für einen Trojaner veröffentlicht, mit dem sich VoIP-Telefonate via Skype mitschneiden lassen. Der Schadcode ist mehreren Security-Experten zufolge in der Lage, die Audio- und Video-Daten der Skype-Kommunikation zu extrahieren und im MP3-Format an einen Angreifer zu übermitteln.

Firmen zum Thema

Ein aktueller Trojaner ist dazu in der Lage, VoIP-Gespräche via Skype aufzuzeichnen.
Ein aktueller Trojaner ist dazu in der Lage, VoIP-Gespräche via Skype aufzuzeichnen.
( Archiv: Vogel Business Media )

Ein selbsternannter Sicherheitsexperte hat einen Skype-Trojaner entwickelt und den Quellcode ins Internet gestellt. Als Motiv gibt er „rein aufklärerische Zwecke“ an, schreibt der Sicherheitsforscher Richard Cohen im SophosLabs-Blog. Es scheint den Malware-Autoren wenig zu interessieren, dass er es Cyber-Kriminellen ermöglicht, den Schadcode in ihre eigene Malware einzubetten.

Mithilfe einer eigenen DLL-Komponente klinkt sich der Trojaner in einen laufenden Skype-Prozess ein und eignet sich dessen Send- und Recv-APIs an. Dadurch ist er in der Lage, die Audio- und Video-Daten abzufangen, noch bevor diese den Skype-Kommunikationspartner erreichen.

Anschließend komprimiert der Trojaner die Daten ins MP3-Format und leitet diese an den Angreifer weiter. Indem der Schadcode die Dateigröße und den entstehenden Netzwerk-Traffic gering hält, erschwert er seine Entdeckung durch aktuelle Antivirus-Programme.

Als Verbreitungswege kommen laut dem Security-Anbieter Symantec zahlreiche Wege in Frage, beispielsweise E-Mail-Links und Social-Engineering-Angriffe. Nach derzeitigem Stand ist eine User-Aktion, also die Installation einer Anwendung oder eines vermeintlichen Skype-Updates zwingend erforderlich. Eine kompilierte Version des Trojaners ist laut Symantec aber noch nicht in freier Wildbahn aufgetaucht.

Der Antivirus-Hersteller hat den Schadcode aber bereits als Trojan.Petsky in seine Malware-Datenbank aufgenommen. Die Produkte des Konkurrenten Sophos erkennen sowohl die ausführbare Datei als auch die injizierte DLL als Troj/Skytap-Gen.

(ID:2040819)