Das Tor – Netzwerk (The Onion Router) dient zur Anonymisierung von Verbindungsdaten, es schützt seine Nutzer vor der Analyse des Datenverkehrs. Damit ist es unmöglich, IP-Adressen zu identifizieren und Rückschlüsse auf den Anwender zu ziehen. Darüber hinaus nutzen bestimmte Darknet-Ressourcen so genannte Pseudo-Domains.
Diese machen es unmöglich, persönliche Informationen des Betreibers zu erhalten. Im Darknet nun hat Kaspersky Lab verstärkte Aktivitäten von Cyberkriminellen über das Tor – Netzwerk beobachtet. Kaspersky Lab kennt aktuell etwa 900 versteckte Online-Services im Tor-Netzwerk. Das Tor von Cyberkriminellen ausgenutzt wird haben die Experten von Kaspersky Lab beim Banking-Trojaner Zeus, beim Keylogger-Trojaner ChewBacca sowie bei einem kürzlich aufgetauchten Tor-Trojaner für Android entdeckt. Netzwerkressourcen innerhalb von Tor werden beispielsweise für C&C (Command-and-Control)-Server oder Admin-Panels in Kombination mit Malware eingesetzt. Kaspersky Lab hat Ende Februar 2014 einen Android-Trojaner entdeckt, der eine Domain in der so genannten Onion-Pseudo-Zone – also im anonymen Tor-Netzwerk – als C&C-Server nutzt. Der mobile Schädling namens Backdoor.AndroidOS.Torec.a nutzt Funktionalitäten des Tor-Clients Orbot. Durch die Nutzung von Tor verschleiert der Trojaner seine Kommandozentrale, also seinen C&C-Server. Auf Android-Geräten kann der Trojaner eingehende SMS-Nachrichten abfangen und ausgehende stehlen, SMS-Nachrichten an bestimmte Nummern senden, USSD-Anfragen durchführen sowie Telefondaten und Informationen zu installierten Apps an den C&C-Server senden.
