Een Trojaans paard waarmee cybercriminelen in theorie geld van de bankrekeningen van Linuxgebruikers kunnen stelen blijkt nauwelijks te werken. De "Hand of Thief" Trojan, zoals de malware heet, werd begin augustus door beveiligingsbedrijf RSA ontdekt. De malware zou door Russische cybercriminelen voor een bedrag van 1500 euro worden verkocht, inclusief updates en ondersteuning. De versie die RSA destijds ontdekte kon gegevens stelen die in invoervelden en formulieren werden ingevuld en fungeerde daarnaast als backdoor.

Volgens het beveiligingsbedrijf was het de verwachting dat het Trojaanse paard op korte termijn over 'web injects' zou beschikken en zodoende een volwaardige banking Trojan kon worden. Via web injects kan malware tijdens het inloggen op de banksite om extra informatie vragen, zoals een Pincode of een extra authenticatiecode.

Windows

Net als veel andere commerciële Trojaanse paarden wordt Hand of Thief met een "builder" geleverd waarmee het eenvoudig is om nieuwe varianten te genereren. Deze Hand of Thief builder is een uitvoerbaar Windowsbestand. Onderzoekers van RSA stellen dat het Windowsbestand ook via de WINE emulator op Linux kan worden uitgevoerd. Het bestand dat de builder genereert is een 32-bit gecompileerd ELF-bestand.

Het Executable and Linking (ELF) format beschrijft het standaard binaire formaat van uitvoerbare programma's die onder veel UNIX-gebaseerde besturingssystemen draaien, zoals Linux. Aangezien het om een 32-bit bestand gaat werkt die alleen op 32-bit Linuxversies, hoewel RSA stelt dat Hand of Trojan met enkele aanpassingen ook op een 64-bit machine kan werken.

Functionaliteit

Volgens de ontwikkelaar van de malware is die op 15 verschillende Linuxdistributies getest, waaronder Ubuntu, Fedora en Debian. Daarnaast worden acht verschillende desktopomgevingen ondersteund, waaronder Gnome en KDE. RSA besloot Hand of Thief zelf te testen en kwam tot de conclusie dat die nauwelijks werkt. Op de eerste testmachine met Fedrora 19 en Firefox en Google Chrome wist de malware zich in het browserproces te injecteren, maar liep de browser in de meeste gevallen vast of liet die zelfs crashen.

In het geval van Firefox wist de malware geen ingevulde gegevens te onderscheppen. Bij Chrome was de malware iets succesvoller en werden enkele requests met data wel onderschept en doorgestuurd. In beide gevallen werkte de malware zonder een aparte lijst met banksites, waardoor alle informatie van de browser op een generieke manier werd opgeslagen.

De tweede test werd op een machine met Ubuntu 12.04 en Firefox uitgevoerd. Het Trojaanse paard was operationeel, maar bleek niets te doen. De onderzoekers ontdekten dat dit werd veroorzaakt doordat Ubuntu over een beveiligingsmaatregel beschikt waardoor de malware geen andere processen kan aanvallen.

Commercieel succes

Voor Linux zijn er nog geen exploit-kits zoals die voor Windows beschikbaar zijn. Via deze exploit-kits kunnen voornamelijk Windowsgebruikers met ongepatchte software worden aangevallen. De auteur van de malware had dan ook geen advies om de malware te verspreiden, behalve dan het gebruik van e-mail en social engineering.

Populaire malware, zoals Zeus en Citadel, onderscheidt zich door gebruiksgemak, effectiviteit en de mogelijkheid om grote groepen internetgebruikers aan te vallen. Het feit dat de Hand of Thief nauwelijks werkt en eenvoudig te verwijderen is, laat volgens RSA zien dat deze Trojan nog nauwelijks "commercieel levensvatbaar" te noemen is.