BackDoor.TeamViewer.49 είναι το όνομα μιας κερκόπορτα trojan που ανακαλύφθηκε από Ρωσική εταιρεία-προμηθευτή ασφάλειας, την Dr.Web, η οποία ισχυρίζεται ότι θα εγκαταστήσει την εφαρμογή TeamViewer σε μολυσμένους υπολογιστές, έτσι ώστε να μπορέσει να παρακολουθήσει την Web κυκλοφορία από τον απατεώνα σε άλλους διακομιστές στο Διαδίκτυο, αποτελεσματικά, χρησιμοποιώντας τον host ως διακομιστή μεσολάβησης (Proxy).
Οι ερευνητές της Dr.Web, μαζί με εμπειρογνώμονες ασφαλείας από τη Yandex, ανακάλυψαν για πρώτη φορά το trojan στις αρχές του Μαΐου, να διανέμεται μέσω ενός πολύπλοκου μηχανισμού πολλαπλών σταδίων.
Οι χρήστες δεν μολύνονται με το BackDoor.TeamViewer άμεσα, αλλά πρώτα μέσα από ένα malware dropper που ονομάζεται Trojan.MulDrop6.39120, το οποίο λέει η Dr.Web διανέμεται στο διαδίκτυο μαζί με ένα πακέτο ενημέρωσης του Adobe Flash Player.
Όταν οι χρήστες εγκαταστήσουν αυτή την κακόβουλη ενημέρωση του Flash Player, παίρνουν μια νόμιμη έκδοση του Flash, αλλά και το Trojan.MulDrop6 trojan, το οποίο εγκαθιστά κρυφά το TeamViewer στον υπολογιστή του θύματος.
Η εγκατάσταση του TeamViewer σε μολυσμένες συσκευές δεν είναι κάτι νέο, αλλά οι απατεώνες δεν το χρησιμοποιούν για να συνδεθούν στον υπολογιστή του θύματος και να πάρουν τον έλεγχο της συσκευής. Η Dr.Web ισχυρίζεται ότι το TeamViewer χρησιμοποιείται για κάτι άλλο.
Οι απατεώνες αντικαθιστούν το avicap32.dll αρχείο του TeamViewer με μια κακόβουλη έκδοση που περιέχει το BackDoor.TeamViewer trojan. Από το TeamViewer εκτελεί αυτόματα το avicap32.dll στη μνήμη του λειτουργικού και οι απατεώνες το μόνο που χρειάζεται είναι να προσθέσουν auto-run λειτουργίες στο TeamViewer και να βεβαιωθούν ότι το εικονίδιο της εφαρμογής είναι κρυμμένο από την περιοχή ειδοποιήσεων των Windows.
Αφότου οι εγκληματίες κάνουν όλες τις απαραίτητες τροποποιήσεις και το TeamViewer τρέχει, το BackDoor.TeamViewer συνδέεται μέσω ενός κρυπτογραφημένου καναλιού για την διοίκηση και τον έλεγχο του διακομιστή των απατεώνων, όπου περιμένει για οδηγίες.
Η Dr.Web λέει ότι, στις εκδόσεις που αναλύθηκαν, η κύρια λειτουργία του trojan ήταν να λειτουργήσει ως Web proxy, λαμβάνοντας την κυκλοφορία που λαμβάνεται από τον C&C εξυπηρετητή και τη διασύνδεσή τους με το Διαδίκτυο, ουσιαστικά καλύπτοντας τις πραγματικές IP των απατεώνων.
«Ενώ θα πρέπει να εξετάσουμε καλύτερα αυτό το θέμα, το πραγματικό πρόβλημα είναι η εγκατάσταση ενός κακόβουλου λογισμικού προγράμματος. Μόλις ένα σύστημα μολυνθεί, οι δράστες μπορούν εικονικά να κάνουν τα πάντα με το συγκεκριμένο σύστημα – ανάλογα με το πόσο περίπλοκο είναι το κακόβουλο λογισμικό, το κατά πόσο μπορεί να αναλάβει ένα ολόκληρο σύστημα, να πάρει ή να παραποιήσει πληροφορίες και ούτω καθεξής», είπε ένας εκπρόσωπος του TeamViewer στη Softpedia. «Έτσι, πρώτα απ’ όλα, είναι σημαντικό οι χρήστες να προστατεύσουν τα συστήματά τους όσο καλύτερα μπορούν, διαθέτοντας το κατάλληλο anti-malware.»
