Stell dir vor, wie die Welt aussehen würde, wenn Tarotkarten jedes Ereignis genau vorhersagen könnten. Vielleicht hätten wir dann die Operation Triangulation schon in ihren Anfängen ersticken können und es gäbe keine Zero-Day-Schwachstellen, da deren Programmierer dank Tarot-Lesungen bereits im Voraus über Schwachstellen im Code gewarnt werden.

Klingt unglaublich? Nun, für ihre neuste Entdeckung haben sich unsere Experten mit solch übernatürlichen Methoden etwas genauer befasst. Hier erfährst du alles über den neuen Trojaner und wie wir ihn letztlich aufspüren konnten.

Tatort Tarot-Trojaner

Der neue Trojaner Trojan.Arcanum tarnt sich als „magische“ App für Wahrsagerei und wird vor allem über Websites verbreitet, die sich der Weissagung und anderen esoterischen Praktiken widmen. Auf den ersten Blick wirkt die App wie ein harmloser Zeitvertreib für Esoterik-Freunde, mit dem Benutzer virtuelle Tarot-Karten legen, ihre astrologische Kompatibilität berechnen oder gar ein Amulett mit der Energie des Universums aufladen (was auch immer das heißt). Allerdings hat es die App tatsächlich in sich und entfaltet hinter ihrer harmlosen Fassade wirklich etwas wahrhaftig Mystisches – und zwar auf die übelste Art und Weise.

Nach der Installation der App verbindet sich der darin enthaltene Trojaner Trojan.Arcanum mit einem C2 Cloud-Server und lädt anschließend die eigentliche Payload nach: den Infostealer Autolycus.Hermes, den Miner Karma.Miner und die Crypto-Malware Lysander.Scytale. Nach dem Auslesen der Benutzerdaten (Logins, Passwörter, E-Mail-Adresse, Zeitpunkt und Ort der Geburt, Bankdaten usw.) werden diese durch den Infostealer in die Cloud hochgeladen. Jetzt erst beginnt das wahre Drama: Der Trojaner beginnt, sein Opfer im realen Leben mithilfe von Social Engineering-Tricks zu manipulieren!

So verwendet Trojan.Arcanum Popup-Nachrichten, um dem Benutzer pseudo-esoterische Ratschläge zu geben und ihn zur Ausführung bestimmter Tätigkeiten zu verleiten. Wenn der Trojaner beispielsweise Zugriff auf die Banking-Apps des Opfers erhält und erhebliche Geldbeträge auf dem Konto entdeckt, senden die Angreifer eine Nachricht an das Opfer. In dieser wird ihm weisgemacht, dass in naher Zukunft eine vorteilhafte Chance bei einer großen Investition bestehen könnte. Etwas später kann es sein, dass das Opfer tatsächlich eine Phishing-Mail erhält, in welcher für eine finanzielle Teilnahme an einem „vielversprechenden Startup“ geworben wird. Vielleicht kommt diese Mail aber auch nicht – das hängt ganz davon ab, wie die Karten fallen.

In der Zwischenzeit nimmt der integrierte Karma.Miner seine Arbeit auf und beginnt mit dem Mining von KARMA-Tokens, während der Trojaner kostenpflichtige Abo-Dienste für zweifelhafte Esoterik-Praktiken mit monatlicher Abrechnung aktiviert. Sollte der Benutzer den KARMA-Miner entdecken und deaktivieren, beginnt obendrein die Crypto-Malware mit dem zufälligen Durchmischen der Benutzerdaten, ohne dass eine Chance auf deren Wiederherstellung besteht.

So konnten wir Trojan.Arcanum aufsprüren

Normalerweise setzen wir auf komplexe Algorithmen und fortschrittliche Datenanalyse, um Cyberbedrohungen schon frühzeitig zu erkennen. Doch was, wenn eine Bedrohung beginnt, zu dunkel und nebulös zu erscheinen? In solchen Fällen ist es am besten, einer Tarot-Lesung zu vertrauen. Und genau das haben unsere Experten getan. Bei einer Wahrsage-Sitzung über eine unbekannte Virensignatur, die wie aus dem Nichts in unserem KSN (Kaspersky Sacral Network) erschien, wurden die Karten mehrerer Großer Arkana gelegt, einige davon umgekehrt:

1. Der Kaiser– Ein Symbol für Macht, Kontrolle und strategische Weitsicht. Bedeutung: Die Bedrohung ist ernst.
2. Der Magier– Sieht Schwachstellen, die sonst niemand erkennt. Der Magier ist clever und entschlossen, aber auch ein Täuscher, der Menschen geschickt manipulieren kann. Umgekehrt gelegt, warnt er vor einem Kontrollverlust. Bedeutung: Die Angreifer setzen auf Social Engineering.
3. Das Pferd– Steht für eine mutige, entschlossene und abenteuerlustige Person. Es steht als Symbol für Aktivität, Veränderung …und Trojaner. Umgekehrt gelegt, weist die Karte auf drohende Fehlentscheidungen durch impulsive Handlungen hin. Bedeutung: Die Bedrohung könnte als zufällig heruntergeladene, harmlose App erscheinen.
4. Das Rad– Warnt vor unüberwindbaren Umständen, die außerhalb der Kontrolle des Benutzers liegen und deren positive Auflösung langwierig und entbehrungsreich werden. Bedeutung: In aller Regel weist dies auf Betrügereien durch Bergbauunternehmen oder Finanzbetrug hin.
5. Der Turm– Sagt eine Phase der Veränderung voraus, die nicht von der Person, sondern vom Schicksal eingeleitet wird, und mit unerbittlicher Kraft über einen hereinbricht. Bedeutung: Ein starker Indikator für eine Zero-Click-Sicherheitslücke.
6. Der Tod– Steht für Veränderung, einen Wechsel der Zyklen, ein Ende oder auch einen Übergang auf eine neue Ebene. Bedeutung: Deutet auf die Gegenwart lauernder Krypto-Malware hin.

Resultat der Analyse-Lesung am Expertentisch

So kannst du dich vor Arcanum schützen

Sich vor so einem Virus zu schützen, ist nahezu unmöglich – schon allein deswegen, weil er gar nicht existiert. Die ganze Geschichte wurde von Anfang bis Ende erfunden. Aber ist diese fantasiereiche Schilderung wirklich so weit hergeholt? Trojaner und andere Malware tarnen sich häufig als legitime, harmlose Apps und können alle möglichen Daten stehlen. Miner werden bereits seit langem über Links unter beliebten YouTube-Videos oder Videospielen verbreitet. Ransomware ist dazu in der Lage, die gesamte Krankenversicherung eines Landes lahmlegen. Zudem sind Themen rund um Magie und Esoterik sicherlich populär genug, um als potenzielles Ziel für Cyberkriminelle herzuhalten. Hier sind einige Tipps, die dein digitales Leben sicherer machen:

• Vertraue bewährter Sicherheitstechnologie. Eine Tarot-Lesung erkennt keinen Virus und schützt weder deinen Computer noch dein Smartphone von einem Angriff. Kaspersky Premium hilft dagegen wirklich.
• Schränke die Berechtigungen für Apps ein. Wenn eine Wahrsage-App Zugriff auf deine Textnachrichten, deinen Standort oder das Dateisystem verlangt, überlege lieber zweimal – wozu eigentlich? Wahrscheinlich handelt es sich eher um eine getarnte Spyware, als um magische Technologie.
• Behalte deine Abonnements im Auge. Check regelmäßig die Abos in den Einstellungen deines App-Stores, damit du nicht plötzlich feststellen musst, dass du jeden Monat an einen Geheimen Wahrsagerei-Orden gezahlt hast.
• Glaube nicht alles, was du online liest. Vor allem nicht am 1. April.