Gemeiner Poker-Trojaner spioniert

Odlanor sorgt für unfaire Spiele

Malware
Der Trojaner macht heimlich Screenshots (Bild: Ross Burgess/Wikipedia unter CC BY-SA 3.0)

Der Exot unter den Trojanern heißt Win32/Spy.Odlanor. Diese Art Trojaner sind selten und neben anderen Trojanern, die beispielsweise Online-Banking im Visier habe, kommt es eher selten vor, dass Malesoftware so spezialisiert ist. Während es schwer ist, solchen Trojanern auf die Spur zu kommen, sind größere Plattformen jedoch bisher verschont geblieben.

Der besagte Trojaner greift jedoch die großen Portale Tilt Poker und PokerStars an, auf denen Millionen von Spielern aktiv sind. Da dort auch um Geld gespielt wird, kann es zu realen Verlusten kommen, ohne, dass der Betrogene überhaupt merkt, dass er an einem Spiel teilgenommen hat, bei dem er massiv benachteiligt war und eventuell nur verlieren konnte.

Wirkungsweise

Das erste Ziel der Betrüger ist es, die Schadsoftware auf das System des potenziellen Opfer zu bekommen. Dazu wird sie einfach als Update von vertrauenswürdigen Anwendungen wie etwa Daemon Tools getarnt oder gelangt direkt über verschiedene Poker-Anwendungen auf den betreffenden PC.

Poker-Anwendungen (Gefahrenquellen)

  • Poker Office
  • Calculator Pro
  • Poker-Rechner
  • Smart Buddy
  • Tournament Shark
  • Pokerspieler-Datenbank

Der Betrüger versucht dann während des Spiels an den Tisch des infizierten PCs zu kommen und kann dank des Trojaners Screenshots vom Opfer-PC machen. So sieht er nicht nur das Blatt des Spielers und kann dadurch eine enormen Vorteil erhalten, sondern auch dessen Spieler-ID. Mit dieser ID ist es leicht möglich auch zu späteren Zeitpunkten ganz einfach über das Poker-Portal selbst, an den Tisch des betroffenen Spielers zu switchen.

Die Kommunikation des Trojaners funktioniert über HTTP, so erreicht er seinen C&C-Server. Über verschiedene Wege werden so Daten abgegriffen und inklusive der gemachten Screenshots und eventuell entwendeten Passwörtern als Post versendet. Der Passwortklau ist Bestandteil neuerer Versionen des Trojaners, in denen die Funktion von NirSoft WebBrowserPassView hinzugefügt wurde.

ESET bezeichnet dieses spezielle Tool als Win32/PSWTool.WebBrowserPassView.B. Dieses ist halb legitim, wird aber auch für eben genannte Anwendungen mit negativen Absichten missbraucht. Was biser noch nicht geklärt ist, ist die Frage, ob die Betrüger die Abschöpfung der Screenshots und deren Benutzung manuell durchführen oder es dafür bereits automatisierte Moglichkeiten sprich Programme gibt.

Betroffen sind bisher mehrere Hundert Rechner, aber prinzipiell kann jeder Pokerspieler Opfer werden. Da die Maleware vor allem über Websites von Drittanbietern geladen wird, kann jedem User nur geraten werden sowohl seine Quellen, wie auch die Programme selbst, die installiert werden sollen, genauestens zu prüfen.

Die meisten der bisherigen Opfer stammen aus dem osteuropäischen Raum. Vor allem Russland, Weißrussland, die Ukraine und Kasachstan sind betroffen. Weitere Analysen laufen, es kann davon ausgegangen werden, dass beide Seiten nicht schlafen, die Entdecker der Maleware, wie auch deren Produzenten, in dieser „Marktlücke“ sicherlich einiges an Gewinn wittern.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.