Beveiligingsonderzoeker Limor Kessem van RSA heeft een bankingtrojan ontdekt die gericht is op Linux-systemen en niet werkt op het Windows-platform. De malware wordt op Russische fora aangeboden voor 1500 euro. ‘Hand of Thief’ heeft nog een beperkte functionaliteit, maar moet nog verder uitgebreid worden, waarna de prijs zal stijgen, aldus Kessem.

Linux-trojans zijn ongebruikelijk en volgens Kessem is daar een simpele economische reden voor. “Zonder de mogelijkheid om de malware breed te verspreiden lijkt de prijs aan de hoge kant. Dat roept de vraag op: heeft de Linux-trojan dezelfde waarde als zijn Windows-tegenhangers?” vraagt Kessem zich af.

Ongevaarlijke trojan

Antivirussoftware voor Linux wordt over het algemeen gebruikt om ervoor te zorgen dat Windows-malware niet verspreid worden via Linux-servers over de Windows-machines op het netwerk. Zo is er ClamAV voor Unix en van Windows-software bekende AV-leveranciers als AVG en Avast hebben ook Linux-versies draaien. Antivirus voor Linux wordt maar weinig gebruikt, omdat er in de praktijk zo weinig Linux-malware voorkomt.

Volgens de RSA lijkt daar verandering in te komen met de ontdekking van de nu nog relatief ongevaarlijke trojan. Omdat Hand of Thief momenteel geen kwetsbaarheden ondersteunt, is het voor oplettende Linux-gebruikers nauwelijks gevaarlijk. Tegenover Kaspersky’s Threatpost twijfelt ze of een exploitpack überhaupt succesvol zou zijn of economische levensvatbaar is.

Onderzoeker Kessem maakt in haar waarschuwing overigens niets bekend over signatuurdetails. Ook over eventuele verspreiding is niets bekend, dus het gaat enkel om een pakket dat voor onverwacht veel geld te koop wordt aangeboden op fora.

Gaten snel dicht

Behalve het gebrek aan malware, maken Linux-gebruikers zich ook minder druk over eventuele kwetsbaarheden omdat deze sneller worden gepatcht. Open source-software is over het algemeen niet gebonden is aan een vastliggend uitrolschema of testtraject. De community stort zich snel op een ontdekt gat en zorgt snel voor een update om de kwetsbaarheid weg te nemen.

Kessem heeft gesproken met de aanbieder van de malware, die dan ook aanraadt om de malware te verspreiden via social engineering en bijvoorbeeld via e-mailbesmetting. Dit ondersteunt volgens haar de theorie dat het lastiger is om Linux-malware te verspreiden via gaten in het systeem. Ars Technica wijst er wel op dat bepaalde Linux-gaten jarenlang kunnen blijven dooretteren.

Geniepige trucs

De trojan kaapt browsersessies en stuurt ingevoerde gegevens door naar de malwarebeheerder. Onder meer Firefox en Chrome worden ondersteund, maar ook Firefox-testtraject Aurora en Chrome-grondlegger Chromium – beide populair bij Linux-gebruikers – zijn vatbaar voor de bankingtrojan.

Ook is de malware voorzien van trucs als het voeren van een blacklist om te voorkomen dat het in honeypots van beveiligingsonderzoekers verstrikt raakt. Dit verlengt de levensduur van de malware, omdat hij minder snel uit elkaar wordt getrokken door antivirusspecialisten. Ook is de malware voorzien van specifieke tools om onderzoek te dwarsbomen.