JustAskJacky: Wie künstliche Intelligenz Trojaner auf ein neues Bedrohungslevel hebt
„ Echte” Trojaner waren in den letzten Jahren im Vergleich zu anderen Malware-Formen eher selten. Doch der Schein trügt: Dank generativer KI, insbesondere sogenannter Large Language Models (LLMs) wie ChatGPT, erleben klassische Trojaner derzeit eine Renaissance – und zwar mit verstärkter Wirksamkeit.
Lange Zeit galten Trojaner als veraltete Bedrohung. Doch mit dem Aufkommen von generativer KI feiern sie ein Comeback – intelligenter, unauffälliger und schwerer erkennbar als je zuvor. Ein konkretes Beispiel dafür: JustAskJacky – eine Desktop-App, die verspricht, Alltagsfragen schnell und kompetent zu beantworten. Sie ist kostenlos, wirkt professionell programmiert, funktioniert fehlerfrei, enthält Datenschutzerklärung und Impressum – nichts, was auf Schadsoftware hindeutet. Auch die Scanner von VirusTotal schlagen nicht an.
Doch hinter der Fassade agiert Jacky als trojanisches Pferd. Im Hintergrund führt die App automatisierte Aufgaben aus – mehrfach täglich, zu zufälligen Zeiten. Die Server, über die „Jacky“ scheinbar harmlose Informationen liefert, übermitteln gleichzeitig bösartige Befehle an das System.
Zwischen veganem Schokokuchen und Systemkompromittierung
Die Methoden sind raffiniert. Ein weiteres Beispiel: Eine scheinbar harmlose Rezepte-App lädt tatsächlich Kochrezepte herunter. Doch eingebettet in den Informationen finden sich unsichtbare Zeichen wie Bindehemmer und Nullbreiteleerzeichen, die als Malware-Befehle interpretiert werden.
Oder: Eine Reverse-Bildersuche liefert eine hochauflösende Version Ihres alten Urlaubsfotos – gleichzeitig aber installieren sich unbemerkt Schadfunktionen auf Ihrem Gerät. Diese neuen Trojaner sind keine Ausnahmen mehr. Sie sind ein wachsendes Phänomen.
Was ist überhaupt ein „echter“ Trojaner?
Der Begriff „Trojaner“ wird in der IT-Sicherheitswelt nicht einheitlich verwendet – und das ist Teil des Problems. Im allgemeinen Sprachgebrauch bezeichnet er meist jede Art von nicht-selbstreplizierender Malware. Manchmal beschreibt er auch lediglich einen Infektionsweg, der auf Täuschung basiert – etwa eine Datei mit dem Namen „Rechnung.pdf.exe“.
In der professionellen Malware-Analyse ist das Schadprogramm präziser definiert: Ein Trojaner ist eine Schadsoftware, deren bösartige Funktionalität untrennbar mit einer tatsächlich nützlichen Anwendung verbunden ist. Die Schadsoftware existiert nur innerhalb dieser Anwendung. Ein klassisches Beispiel ist der sogenannte „AIDS-Trojaner“ aus den 1980er-Jahren, der in einem vermeintlichen Informationsprogramm versteckt war. Auch „TamperedChef“ folgt diesem Prinzip. Die Backdoor funktioniert nur im Zusammenspiel mit der Rezeptanwendung, da der Schadcode in die eigentlichen Rezepte eingebettet ist. Diese Form von Trojaner war in den letzten Jahren selten, weil der Aufwand für deren Erstellung hoch war. Genau das hat sich nun geändert.
LLMs senken die Hürde – und machen Trojaner wieder attraktiv
Cyberkriminelle testen ihre Malware häufig mithilfe von Multi-Scanner-Plattformen wie VirusTotal. Diese bieten einen Überblick, ob aktuelle Scanner den Code als gefährlich einstufen. Allerdings sind die VirusTotal-Scanner verglichen zu den Virenschutzlösungen in ihrer Funktionalität eingeschränkt und müssen ohne Kontext- oder Verhaltensinformationen auskommen. Sie arbeiten hauptsächlich statisch und verlassen sich dabei vorwiegend auf Signatur-Erkennungen. Diese jedoch reichen seit Langem nicht mehr aus, um eine Datei tatsächlich zu bewerten. Eine Signatur muss erst geschrieben werden, und solange eine solche nicht vorhanden ist, gibt es auch keine Erkennung.
Bisher nutzten Angreifer sogenannte Packer-Tools, die bestehenden Schadcode verschleiern, um ihn vor einer statischen Erkennung zu schützen. Die Entwicklung völlig neuen Codes war zwar effektiver, aber deutlich aufwendiger. Dank LLMs ist dieser Aufwand drastisch gesunken. Denn grosse Sprachmodelle können heute innerhalb von Sekunden ausführbaren Code erzeugen, der strukturiert, funktionsfähig und vollständig dokumentiert ist. Genau hier liegt das Problem: Solcher Code ist in den Signaturen statischer Scanner nicht enthalten und bleibt somit oft lange unentdeckt – zumindest auf VirusTotal.
Ein Beispiel: Die Malware „TamperedChef“ war sechs Wochen lang auf VirusTotal verfügbar – ohne Alarm auszulösen. Hinweise im Quellcode deuten auf eine KI-generierte Ursprungsversion hin: klar strukturierter Aufbau, umfassende Kommentare, gute Dokumentation. Eigenschaften, die von menschlichen Angreifenden typischerweise vermieden werden – um Reverse Engineering zu erschweren. LLMs machen also nicht nur Texte von Phishing-Mails glaubwürdiger – sie generieren auch den Schadcode gleich mit.
Wenn Bauchgefühl nicht mehr reicht
Einige Nutzer verlassen sich auf Erfahrung: Verdächtige Formulierungen, unprofessionelle Layouts, fehlerhafte Sprache – all das waren bisher Anzeichen für Phishing und Malware. Doch LLMs erzeugen heute täuschend echte Inhalte, perfekte Grammatik und sogar glaubwürdige Fake-Bewertungen oder Nutzerkommentare.
Auch legitime Websites – etwa von Start-ups oder Open-Source-Projekten – nutzen LLMs für ihre Inhalte. Der Unterschied zur Malware-verbreitenden Website? Kaum mehr erkennbar. Kurz gesagt: Der Eindruck von Vertrauenswürdigkeit ist kein verlässlicher Schutzfaktor.
Ein Update für unsere Schutzstrategien
Statische Malware-Scanner – insbesondere jene auf Plattformen wie VirusTotal – bieten gegen diese neue Bedrohungslage nur unzureichenden Schutz. Was gebraucht wird, sind:
- verhaltensbasierte Schutzsysteme, die das tatsächliche Laufzeitverhalten von Programmen analysieren,
- mit Kontext angereicherte Erkennungsmethoden, die beispielsweise einbeziehen, woher ein Programm gekommen ist, wie die Reputation des Software-Publishers ist, wie lange die Datei schon auf dem System ist und wie oft sie bisher gesehen wurde,
- Endpoint-Detection-and-Response-Lösungen mit integrierter Anomalieerkennung,
- regelmässige Threat-Intelligence-Feeds, um auch neue und mutierende Bedrohungen frühzeitig zu identifizieren.
Organisationen, die sich in den letzten zwei Jahrzehnten auf vermeintlich bewährte Indikatoren verlassen haben, sollten dringend ihre IT-Sicherheitsstrategie aktualisieren. Der technologische Vorsprung durch generative KI sowie der massiv reduzierte Aufwand für Täter verändert die Angriffslandschaft grundlegend.
Fazit: Trojaner sind zurück – besser getarnt als je zuvor
Die Zeiten, in denen Schadsoftware an ihrer schlechten Grammatik oder einer auffälligen Benutzeroberfläche erkennbar war, sind vorbei. Cyberkriminelle haben mit LLMs ein leistungsstarkes Werkzeug zur Hand, um hochwertige Inhalte, Software und sogar Fake-Personas zu erschaffen – kombiniert mit raffinierter Malware.
Die Antwort darauf ist kein technischer Aktionismus, sondern strategisches Umdenken. Unternehmen sollten:
- ihre Sicherheitsarchitektur mit Verhaltenserkennung und kontextsensitiven Abwehrmechanismen stärken,
- ihre Mitarbeitenden stärker sensibilisieren, weil klassische Warnzeichen nicht mehr reichen,
- informiert bleiben, wie Angreifer KI nutzen – und wie Unternehmen KI für ihre Verteidigung ebenfalls einsetzen.
Denn am Ende gilt: Wer LLMs unterschätzt, läuft Gefahr, Trojaner wie Jacky nicht als solche zu erkennen – bis es zu spät ist.
Partner
Swissborg meldet Diebstahl von 41 Millionen US-Dollar in Krypto
Sopra Steria rüstet Cybersecurity-Lösung auf
Was macht eine Taube, die nicht fliegen kann? Sie wird Teil des Hunderudels!
Bildungssektor wehrt sich erfolgreich gegen Ransomware
Die bisher wohl grösste Supply-Chain-Attacke - doch die Täter gehen leer aus
Was Versicherungen, Behörden und die Armee in der Cybersicherheit umtreibt
Eset sagt, warum die Herkunft von IT wichtig ist für das Vertrauen
Sind Robben auf dem Weg, sich zu Walen zu entwickeln?
JustAskJacky: Wie künstliche Intelligenz Trojaner auf ein neues Bedrohungslevel hebt
