Poker-Trojaner Odlanor – Ich schau Dir in die Karten, Kleines!

„Es gibt Tage, da verliert man und Tage, da gewinnen die Anderen“ könnte im Online-Poker zwangsläufig zur Realität werden, sieht man sich die neueste Entdeckung unserer Malware-Experten an. Abseits der Mainstream-Bedrohungen wie Ransomware, Banking-Trojaner oder gezielte Angriffe (ATPs), die uns jeden Tag bei der Arbeit begegnen, machen wir von Zeit zu Zeit auch spektakuläre Funde, die das Forscherherz höher schlagen lassen. Wie beim Poker-Trojaner Odlanor, der keinesfalls zu den „üblichen Verdächtigen“ zählt, sondern eine Ausnahme von der Regel ist. Die Malware hat speziell Online-Pokerspieler im Visier.

Als ich das letzte Mal über Malware im Poker-Umfeld geschrieben habe, ging es um PokerAgent – ein Trojaner, der auf Facebook kursierte und es auf Zugangsdaten, Kreditinformationen und das Zynga Pokerguthaben der User abgesehen hatte.

Der neue Global Player heißt Win32/Spy.Odlanor. Mit diesem Trojaner können Cyberkriminelle ihrem Gegenspieler wortwörtlich in die Karten schauen. Hinzu kommt, dass die größten Online-Poker-Seiten PokerStars und Tilt Poker zur Zielscheibe geworden sind.

Modus Operandi

Allem Anschein nach machen es sich die Angreifer ziemlich leicht: Zuerst infizieren sie ihr Opfer mit der Malware und versuchen anschließend, sich an dessen Pokertisch einzuschleusen. Der Clou ist, dass der Betrüger Einblick in alle Karten hat und sein Gegenüber buchstäblich ausspielen kann.

Wie genau geht der Angreifer vor? Diese Frage beantworten wir in unserer folgenden Analyse.

Wie bei einem typischen Trojaner infiziert sich der Nutzer mit Win32/Spy.Odlanor im Glauben, eine nützliche Anwendung herunterzuladen. Dafür nutzt er allerdings anstatt der offiziellen Quellen Webseiten von Drittanbietern. Hier tarnt sich die die Malware als harmloser Installer für verschiedene allgemeine Anwendungen, wie Daemon Tools oder mTorrent. In anderen Fällen gelangt der Schädling über verschiedene Poker-Programme – Pokerspieler-Datenbank, Poker-Rechner etc. – wie Tournament Shark, Poker Calculator Pro, Smart Buddy, Poker Office und andere auf das System des Opfers.

Einmal ausgeführt, ist der Trojaner in der Lage, Screenshots vom Fenster der zwei anvisierten Poker-Clients PokerStars oder Full Tilt Poker zu machen, wenn das Opfer dort zockt. Die Bilder werden dann an den Computer des Angreifers gesendet.

Anschließend können die Screenshots vom Betrüger abgerufen werden. Darin sieht er nicht nur die Karten des infizierten Spielers gegenüber, sondern auch dessen Spieler-ID. Eine gute Partie für den Kriminellen, denn beide Poker-Seiten ermöglichen die Suche nach Spielern anhand dieser Spieler-ID. Das heißt, er kann sich ganz einfach mit den Spieltischen seiner Opfer verbinden.

Wir haben allerdings noch keine Klarheit darüber, ob der Angreifer das Spiel händisch oder in irgendeiner Weise automatisch steuert.

In neueren Malware-Varianten wurde eine allgemeine Datendiebstahl-Funktionalität durch die Nutzung einer Version von NirSoft WebBrowserPassView hinzugefügt, eingebettet in den Oldanor-Trojaner. Dieses Tool, das von ESET unter dem Namen Win32/PSWTool.WebBrowserPassView.B entdeckt wird, ist eine legitime, wenn auch potenziell unerwünschte Anwendung, die Passwörter von verschiedenen Webbrowsern abzapfen kann.

Technische Details

Der Trojaner kommuniziert über HTTP mit seinem C&C-Server, dessen Adresse im Binärprogramm hartkodiert ist. Ein Teil der abgezweigten Informationen wie die Malware-Version und Informationen zur Computeridentifikation werden in den URL-Parametern verschickt. Der Rest der gesammelten Daten, einschließlich eines Archivs mit allen Screenshots oder gestohlenen Passwörtern, wird in den POST-Anfragedaten gesendet.

Im unten stehenden Screenshot von IDA Pro sind die Komponenten des Malware-Codes erkennbar, die nach Fenstern von PokerStars und Full Tilt Poker suchen.

Screen Shot 2015-09-16 at 12.28.56Statistiken & Hashes

Wir haben einige Versionen der Malware „in freier Wildbahn” entdeckt, zum ersten Mal im März 2015. ESET LiveGrid®-Messwerten zufolge stammen die meisten Funde aus osteuropäischen Ländern. Einige der Opfer kamen aus Tschechien, Polen und Ungarn. Von dem Trojaner geht jedoch für alle Online-Pokerspieler eine mögliche Gefahr aus. Nach heutigem Stand (16. September 2015) sind bereits einige Hunderte Spieler von Win32/Spy.Odlanor betroffen:

odlanor_poker_cheatingSHA1 Hashes:

18d9c30294ae989eb8933aeaa160570bd7309afc
510acecee856abc3e1804f63743ce4a9de4f632e
dfa64f053bbf549908b32f1f0e3cf693678c5f5a


Ein besonderer Dank gilt Miro Babiš für dessen Analyse.

Autor Robert Lipovsky, ESET