Beveiligingsbedrijf RSA ontdekte afgelopen zomer een speciale Linux-bankingtrojan die wordt aangeboden op ondergrondse fora. Deze malware, Hand of Thief (HoT) genoemd, blijkt nu uit onderzoek van het bedrijf slecht te functioneren.

Hij veroorzaakt crashes en RSA noemt de trojan een prototype dat nog niet commercieel vatbaar is. Ondanks dat wordt de malware nu al voor 1500 euro verkocht. Beveiligingsonderzoeker Yotam Gottesman van RSA dook dieper in op de malware en testte de functionaliteit op de browsers waarvan de aanbieder beweert dat de trojan werkt.

Trojan crasht browser

De malware zorgt ervoor dat browsers op systemen met Fedora 19 instabiel worden. Trojans moeten onopgemerkt blijven en de storingen die worden veroorzaakt bij Firefox en Chrome zorgen er sneller voor dat gebruikers hun beveiligingssoftware gebruiken om de trojan op te sporen of uit frustratie een andere browser gebruiken, stelt Gottesman.

In Ubuntu 12.04 werkte de trojan wel, maar voerde hij geen acties uit. Een security-feature (ptrace scope) die in Ubuntu standaard is ingeschakeld blokkeert systeemaanroepen en zorgt ervoor dat processen niet aan andere processen kunnen haken, zelfs als het used-ID overeenkomt. Deze functie is alleen uit te schakelen met root-rechten, waarna de malware wel functioneert.

Onbruikbare data

Maar zelfs dan veroorzaakte de trojan de crashes en bevroren browsers die ook op Fedora werden gezien. In enkele gevallen was de malware in staat gegevens op te vangen en door te sturen, maar bleek iedere browser-request door te sturen en zich niet te richten op specifieke informatie. “Door op deze manier requests te kapen loopt de dropserver snel vol met onbruikbare data”, aldus Gottesman.

Eerder dacht RSA dat de malware gevaarlijker zou worden zodra er meer functionaliteiten zouden worden toegevoegd, bijvoorbeeld om de trojan te kunnen injecteren via een drive-by-aanval. Maar het lijkt er nu op dat de malware in zijn huidige vorm te crashgevoelig is om deze nieuwe functies te kunnen ondersteunen.

Functionaliteit gaat niet werken

Gottesman concludeert dan ook dat de trojan niet naar behoren functioneert. De HoT-maker heeft op ondergrondse fora laten weten nu de laatste hand te leggen aan de injectiefunctionaliteit. “Omdat de Form-grabber die hij heeft ontworpen niet functioneel is op de browsers waarop hij gezegd heeft getest te hebben, zullen deze injecties waarschijnlijk niet werken.”

De eerder verwachtte evolutie van de Linux-trojan die het een gevaar zou maken voor mensen die bankieren op een Linux-OS in plaats van een Windows-OS blijft dan ook uit. RSA zegt de ontwikkeling van HoT op de voet te zullen blijven volgen om te zien of de malware nog wordt verbeterd.