Verstärkte Aktivitäten im sogenannten „Darknet“ haben die Experten von Kaspersky Lab beobachtet. Konkret geht es dabei um etwa 900 versteckte Online-Services im Tor-Netzwerk. Tor – Nutzer bleiben im Gegensatz zum normalen Internet anonym. Es ist unmöglich, IP-Adressen zu identifizieren und Rückschlüsse auf den Anwender zu ziehen.
Darüber hinaus nutzen bestimmte Darknet-Ressourcen so genannte Pseudo-Domains. Diese machen es unmöglich, persönliche Informationen des Betreibers zu erhalten. Cyberkriminelle nutzen diesen Umstand, um ihre Infrastruktur zu hosten. Kaspersky Lab hat Tor-Funktionalitäten beim Banking-Trojaner „Zeus“, beim Keylogger-Trojaner „ChewBacca“ sowie bei einem kürzlich aufgetauchten Tor-Trojaner für Android entdeckt. Netzwerkressourcen innerhalb von Tor werden beispielsweise für C&C (Command-and-Control)-Server oder Admin-Panels in Kombination mit Malware eingesetzt. Laut den Experten von Kaspersky Lab erschweren die im Tor – Netzwerk gehosteten C&C – Server deren Identifikation, Blacklisting oder Eliminierung. Kaspersky Lab hat Ende Februar 2014 einen Android-Trojaner entdeckt, der eine Domain in der so genannten Onion-Pseudo-Zone – also im anonymen Tor-Netzwerk – als C&C-Server nutzt. Der mobile Schädling namens „Backdoor.AndroidOS.Torec.a“ nutzt Funktionalitäten des Tor-Clients „Orbot“. Durch die Nutzung von Tor verschleiert der Trojaner seine Kommandozentrale, also seinen C&C-Server. Auf Android-Geräten ist der Trojaner in der Lage, eingehende SMS-Nachrichten abzufangen und ausgehende zu stehlen, SMS-Nachrichten an bestimmte Nummern zu senden, USSD-Anfragen durchzuführen sowie Telefondaten und Informationen zu installierten Apps an den C&C-Server zu senden.
