Palo Alto Networks warnt vor einem neuen Windows-Trojaner, dessen eigentliches Ziel es ist, Android- und iOS-Geräte mit Malware zu verseuchen. Die als DualToy bezeichnete Schadsoftware installiert per Sideloading gefährliche Apps auf mobilen Geräten, die über USB mit einem Windows-PC verbunden sind. Die meisten Opfer finden sich derzeit zwar in China, die Sicherheitsforscher haben aber auch Angriffe in den USA, Großbritannien, Spanien, Irland und Thailand registriert.

Android-Geräte manipuliert DualToy über die Android Debug Bridge (ADB), die in der Regel nur auf Computern von Entwicklern oder Nutzern alternativer Android-Versionen wie Cyanogenmod aktiv ist. Allerdings kann DualToy die benötigten Treiber auch über seine Befehlsserver herunterladen und installieren. Wird ein Android-Smartphone erstmals per ADB mit einem PC verbunden, muss auf dem Gerät die Verbindung bestätigt werden. Andernfalls nutzt DualToy eine bereits vorhandene Genehmigung.

Um iPhones und iPads zu infizieren, nutzt DualToy Apples iTunes-Software. Ist sie nicht vorhanden, werden dessen Komponenten „AppleMobileDeviceSupport“ und „AppleApplicationSupport“ heruntergeladen und im Hintergrund installiert. Sie enthalten die für die Kommunikation zwischen PC und iOS-Gerät benötigten Treiber. Auch hier muss der Trojaner die Zustimmung des Nutzer für eine Verbindung mit dem mobilen Gerät einholen, falls iPhone oder iPad erstmals verbunden werden.

Ist eine Verbindung hergestellt, installiert DualToy auf Android-Geräten verschiedene als Adware oder Riskware eingestufte Apps. Darüber hinaus ist der Trojaner auch in der Lage, eine modifizierte Version des Tools SuperSU zu installieren, mit dem sich auf gerooteten Geräten die Nutzerrechte des „Superusers“ verwaltet lassen.

Von iOS-Geräten stiehlt DualToy indes diverse Geräte- und Systemdaten wie Gerätename, Modellnummer, die eindeutige Seriennummer IMEI, Telefonnummer und die IMSI genannte Nummer zur eindeutigen Identifizierung von Mobilfunknutzern. Darüber hinaus wird versucht, eine gefährliche App auf dem verbundenen iOS-Gerät zu installieren, was laut Paolo Alto Networks derzeit jedoch an einem abgelaufenen Zertifikat scheitert – ein Mangel, den die Hintermänner von DualToy jedoch leicht beheben könnten. Die App selbst sei darauf ausgerichtet, die Apple ID und das zugehörige Passwort zu stehlen.


Schützen Sie sich vor solchen Angriffen mithilfe von Sophos Endpoint Antivirus.