Virologie mobiler Geräte 2015

Inhalt

Die Zahlen des Jahres

Im Jahr 2015 entdeckte Kaspersky Lab:

  • 2.961.727 schädliche Installationspakete;
  • 884.774 neue mobile Schadprogramme – das sind drei Mal mehr als im vorangegangenen Jahr;
  • 7.030 mobile Bank-Trojaner.
  • Zunahme der Zahl schädlicher Apps, die der Nutzer nicht selbstständig löschen kann.
  • Aktiver Einsatz von Phishing-Fenstern durch Schädlinge zum Überdecken legitimer Apps.
  • Steigende Zahl von Erpresserprogrammen (RansomWare).
  • Nutzung von Superuser-Rechten durch Schadprogramme zum Anzeigen aggressiver Werbung.
  • Zunahme der Schadprogramme für iOS.

Die wichtigsten Monetarisierungsmethoden

Mobile Schadprogramme entwickeln sich weiterhin in Richtung Monetarisierung. Die Schöpfer von Schadcode rüsten sie so aus, dass sie ihre Opfer auf irgendeine Art um ihr Geld bringen können.

Diebstahl von den Bankkonten der Anwender

Die Entwicklung von mobilen Trojanern, die direkt die Bankkonten der Nutzer ins Visier nehmen, schreitet voran: Im Jahr 2015 entdeckten wir 7.030 neue mobile Bank-Trojaner. Einige mobile Schädlinge arbeiten mit Windows-Trojanern zusammen und fangen die mTAN ab (einmalige Passwörter zur Zwei-Faktoren-Authentifizierung), die zur Bestätigung einer Finanztransaktion benötigt werden. Viele mobile Programme, die für den Diebstahl von Geld von den Bankkonten der Nutzer eingesetzt werden, funktionieren aber auch selbstständig.

Einige Schadprogramme überdecken eine geöffnete legitime Banken-App auf dem Display des Geräts mit einem Phishing-Fenster, das das Äußere dieser App kopiert. Als eindrucksvolle Beispiele für derartige Programme dienen der Trojaner Trojan-SMS.AndroidOS.OpFake.cc und Vertreter der Familie Trojan-Banker.AndroidOS.Acecard. Eine der Modifikationen von OpFake.cc kann die Oberfläche von mehr als 100 legitime Bank- und Finanz-Apps überdecken. Die Familie mobiler Banker Acecard überdeckt ihrerseits 30 Bank-Applikationen, zudem verfügt sie über die Funktionalität, jede beliebige App auf Befehl des Steuerungsservers zu überdecken.

Im zweiten Quartal 2015 schrieben wir über das Programm Trojan-Spy.AndroidOS.SmsThief.fc, dessen Schadcode einer legitimen Banken-Anwendung hinzugefügt worden war, wobei deren Funktion nicht beeinträchtigt wurde. Das hatte zur Folge, dass es nun für den Nutzer äußerst schwierig ist, diesen Schädling selbstständig zu erkennen.

Die Ansätze werden immer komplexer: Sie beschränken sich nicht mehr allein auf spezialisierte Bank-Trojaner, die es ausschließlich auf Banken-Apps abgesehen haben.

Ein Beispiel für eine solche Anwendung ist Trojan-SMS.AndroidOS.FakeInst.ep. Dieser Schädling zeigt dem Nutzer eine Mitteilung an, die vorgeblich von Google stammt. Sie beinhaltet die Aufforderung sein Google Wallet zu öffnen und seine Kreditkartendaten einzugeben (angeblich zum Schutz vor Cyberkriminalität). Das Fenster mit dieser Mitteilung lässt sich nicht schließen, bis der Nutzer seine Kreditkartenkarten eingibt.

Virologie mobiler Geräte 2015

Nachdem der Anwender die geforderten Daten eingegeben hat, werden sie an die Cyberkriminellen gesendet und das Fenster schließt sich. Doch der Trojaner stiehlt weiter Daten und übermittelt seinen Betreibern zusätzliche Informationen über das Smartphone seinen Besitzer.

Vor dem Hintergrund der verlangsamten Zunahme der Zahl spezialisierter Bank-Trojaner steigt die Gesamtzahl der Anwendungen, die in der Lage sind Geld von den Nutzern zu stehlen. Dabei werden die Bank-Trojaner immer raffinierter und universeller – häufig sind sie in der Lage, Kunden von Dutzenden Banken in verschiedenen Ländern der Welt anzugreifen. Das hat zur Folge, dass die Online-Kriminellen keine Unmenge an Dateien brauchen, um die Kunden verschiedener Banken anzugreifen.

Erpresser-Programme (RansomWare)

Im Jahr 2015 hat sich die Zahl der von uns gefundenen Trojaner-Familien der Klasse Trojan-Ransom praktisch verdoppelt. Die Menge der entdeckten Modifikationen stieg in diesem Zeitraum um das 3,5-Fache. Das bedeutet, dass einige Cyberverbrecher auf das Ausrauben der Nutzer mit Hilfe von Erpresser-Trojanern umsatteln. Und diejenigen, die bereits vorher auf dieses Methode gesetzt hatten, entwickeln weiterhin aktiv neue Modifikationen solcher Schädlinge. Ein weiterer wichtiger Wert, der von der Aktualität dieser Bedrohungsklasse zeugt, ist die Zahl der angegriffenen Nutzer: Innerhalb des Jahres 2015 hat sich dieser Wert mehr als verfünffacht.

Am häufigsten blockieren Trojaner dieses Typs ein Gerät unter dem Vorwand illegaler Aktivitäten seitens des Nutzers und erpressen dann Geld für die Entsperrung des mobilen Geräts – meist fordern sie eine Summe, die zwischen 12 und 100 Dollar liegt. Das blockierte Gerät kann nicht mehr benutzt werden – der User sieht nur pausenlos einen Bildschirm, auf dem das Fenster mit der Lösegeldforderung geöffnet ist. Einige Trojaner können sogar die Systemdialoge überdecken, wie etwa das Abschalten des Telefons.

Virologie mobiler Geräte 2015

Fenster, das der Trojaner Fusob öffnet

Ende des Jahres konnten wir einige Trojaner des Typs Trojan-Downloader aufspüren, die in erster Linie den Erpresser-Schädling Trojan-Ransom.AndroidOS.Pletor ins System luden. Eine Besonderheit dieser trojanischen Ladeprogramme besteht darin, dass sie eine Sicherheitslücke im System ausnutzen, um die Rechte eines Superusers auf dem Gerät zu erhalten und Trojan-Ransom im Systemverzeichnis zu installieren. Danach ist der installierte Trojaner praktisch nicht mehr zu entfernen.

SMS-Versand an Premiumnummern und kostenpflichtige Abos

SMS-Trojaner sind nach wie vor eine aktuelle Bedrohung, besonders in Russland. Solche Programme verschicken ohne Wissen des Nutzers von einem infizierten Gerät kostenpflichtige Mitteilungen. Auch wenn ihr Anteil in der allgemeinen Masse mobiler Bedrohungen weiterhin abnimmt, bleibt die Zahl der SMS-Trojanerimmer noch bedeutend hoch.

Einige SMS-Trojaner beschränken sich nicht auf den Versand von SMS an Premium-Nummern, sondern binden dem Nutzer zudem ein kostenpflichtiges Abo ans Bein. Im Verlauf des gesamten Jahres 2015 verfolgten wir die Entwicklung von Trojan-SMS.AndroidOS.Podec, der einer der unter Cyberkriminellen beliebtesten Trojaner bleibt. Dieser Schädling verfügt über eine recht ungewöhnliche Funktion. Die Haupteinkommensquelle dieses Trojaners sind kostenpflichtige Abonnements. Er ist in der Lage, Captcha zu umgehen, in den jüngsten Modifikationen büßte er seine Fähigkeit ein, SMS zu versenden – seine Schöpfer konzentrieren sich nun voll und ganz auf die Abonnements.

Aggressive Werbung

Im Jahr 2015 registrierten wir eine Zunahme von Programmen, die Werbung als wichtigste Monetarisierungsmethode einsetzen. Als Trend des Jahres etablierten sich Trojaner, die Root-Rechte nutzen. Während im ersten Quartal nur ein derartiger Trojaner im Rating der populärsten mobilen Schadprogramme vertreten war, stellten sie im Gesamtrating für das Jahr 2015 schon über die Hälfte der TOP 20. Obwohl solche Trojaner für das für den Nutzer unbemerkte Laden und die Installation von Werbeprogrammen vorgesehen sind, können sie eine ganze Reihe von Problemen mit sich bringen. Nach der Installation versuchen sie, das Gerät zu rooten und ihre Komponenten im System zu installieren, damit sie danach nur noch sehr schwer unschädlich gemacht werden können. Einige von ihnen verschwinden selbst dann nicht, wenn man das Gerät auf Werkseinstellungen zurücksetzt. Infolge ihrer Arbeit wird dem Nutzer auf dem Gerät eine Unmenge lästiger Werbung angezeigt. Außerdem installieren sie ohne Wissen des Nutzers auf dem Gerät viele verschiedene Programme, unter anderem auch schädliche. Es wurden Fälle registriert, in denen derartige Programme sich in der offiziellen Firmware des Geräts ausbreiteten und waren auch schon auf neuen Telefonen vorinstalliert.

Malware in offiziellen Stores

Anfang Oktober 2015 gelang es uns, mehrere Trojaner in dem offiziellen App-Shop Google Play Store aufzuspüren. Die Schädlinge stahlen die Passwörter von Nutzern des russischen sozialen Netzwerkes VKontakte. Es handelte sich dabei um Trojan-PSW.AndroidOS.MyVk.a und Trojan-PSW.AndroidOS.Vkezo.a. Ungefähr einen Monat später detektierten wir eine neue Modifikation des Trojaners Vkezo, die ebenfalls über den Google Play Store verbreitet wurde. Die Online-Verbrecher veröffentlichten diese Trojaner mit beneidenswerter Hartnäckigkeit in dem offiziellen App-Store – im Laufe mehrerer Monate wurden sie 10 Mal unter verschiedenen Namen angeboten. Die Zahl der Downloads vieler Versionen dieser Trojaner lag zwischen 100.000 und 500.000. Ein anderer Trojaner, der ebenfalls im Google Play Store entdeckt wurde, ist Trojan-Downloader.AndroidOS.Leech. Auch er wurde zwischen 100.000 und 500.000 Mal heruntergeladen.

Schädlinge für iOS

Die Zahl der im Jahr 2015 entdeckten Schadprogramme für iOS stieg im Vergleich zu 2014 um das 2,1-Fache.

Das Auftauchen von schädlichen Apps im App Store hat vor kurzem wieder einmal gezeigt, dass das Betriebssystem iOS entgegen der landläufigen Meinung nicht immun gegen Malware ist. Der App Store wurde dabei nicht von Cyberkriminellen gehackt. Im Internet wurde eine schädliche Version von Apples Xcode platziert – ein kostenloses Toolset, mit dessen Hilfe Entwickler Anwendungen für iOS erstellen.

Apples Xcode wird offiziell von Apple verbreitet, doch inoffiziell verbreiten es auch Dritte. Einige chinesische Entwickler laden solche Tools vorwiegend von lokalen Servern. Schließlich platzierte jemand auf einem Dritt-Webserver in China eine Xcode-Version, die den Schadcode XcodeGhost enthielt. In jeder App, die mit diesem Xcode kompiliert wurde, war nun der Schadcode eingebaut.

Das Schadprogramm XcodeGhost infizierte Dutzende Apps. Zunächst schien es, dass 39 infizierte Apps, die erfolgreich in den App Store geladen wurden, die Überprüfungsprozedur von Apple umgingen. Die populärste unter ihnen war WeChat, ein kostenloser Messenger, den mehr als 700 Millionen Nutzer installiert haben. Apple löschte die infizierten Apps. Die gehackte Xcode-Version war allerdings ungefähr sechs Monate verfügbar. Daher ist die tatsächliche Gesamtzahl der infizierten Apps möglicherweise sehr viel größer, nicht zuletzt deshalb, weil der Quellcode von XcodeGhost auf Github veröffentlicht wurde.

Anfang Juni wurde ein Schädling für das iPhone entdeckt, und zwar Trojan.IphoneOS.FakeTimer.a. Dieser Trojaner, der japanische Nutzer angreift, kann auf jedem beliebigen iPhone installiert werden, weil die Gauner ein Enterprise-Zertifikat benutzten, um den Trojaner zu signieren. Das Schadprogramm setzt Phishing ein um Geld zu stehlen. Wir weisen darauf hin, dass es bereits seit einigen Jahren eine analoge Version dieses Trojaners für Android gibt: Trojan.AndroidOS.FakeTimer.a.

Statistik

Im Jahr 2015 stieg die Zahl der mobilen Schadprogramme weiterhin steil an. In den Jahren von 2004 bis 2013 entdeckten wir fast 200.000 Samples von mobilem Schadcode. Im Jahr 2014 waren es 295.539 neue mobile Schadprogramme. Im Jahr 2015 betrug ihre Zahl bereits 884.774. Diese Zahlen geben aber nicht das vollständige Bild wieder, da auf jedes Schadprogramm-Sample mehrere Installationspakete entfallen: Im Jahr 2015 registrierten wir 2.961.727 schädliche Installationspakete.

In dem Zeitraum von Anfang Januar 2015 bis Ende Dezember 2015 wehrte Kaspersky Lab etwa 17 Attacken von mobiler Malware ab und schützte damit 2.634.967 individuelle Android-Geräte.

Virologie mobiler Geräte 2015

Zahl der von Kaspersky Lab-Produkten abgewehrten Attacken

Virologie mobiler Geräte 2015

Zahl der von Kaspersky Lab-Produkten geschützten Anwender

Geografie der mobilen Bedrohungen

Attacken mobiler Malware wurden in mehr als zwanzig Ländern und Territorien der Welt registriert.

Virologie mobiler Geräte 2015

Geografie der mobilen Bedrohungen (Zahl der angegriffenen Anwender, 2015)

Die Zahl der registrierten Attacken hängt in vielerlei Hinsicht von der Zahl der Nutzer im jeweiligen Land ab. Um die Gefahr einer Infektion mit mobilen Schädlingen in den verschiedenen Ländern einzuschätzen, haben wir für jedes Land den prozentualen Anteil der Nutzer von Kaspersky Lab-Produkten berechnet, die im Jahr 2015 mit schädlichen Anwendungen konfrontiert waren.

TOP 10 der Länder nach prozentualem Anteil der von mobilen Schädlingen angegriffenen Anwender:

Land Prozentualer Anteil
der angegriffenen Anwender*
1 China 37
2 Nigeria 37
3 Syrien 26
4 Malaysia 24
5 Elfenbeinküste 23
6 Vietnam 22
7 Iran 21
8 Russland 21
9 Indonesien 19
10 Ukraine 19

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer des mobilen Antivirus‘ von Kaspersky Lab im Berichtszeitraum unter 25.000 lag.
** Prozentualer Anteil individueller Anwender, die im Land angegriffen wurden, an allen Nutzern des mobilen Antivirus‘ von Kaspersky Lab in diesem Land.

Spitzenreiter dieses Ratings wurden China und Nigeria, wo 37% der Nutzer unseres Produkts mindestens einmal im Jahr einer Attacke ausgesetzt waren. Ein großer Teil der Angriffe auf die Anwender in Nigeria wird von Werbe-Trojanern durchgeführt, die Root-Rechte nutzen, wie etwa Trojaner der Familien Ztrorg, Leech, Rootnik und andere, sowie auch von Adware.

In China geht ein großer Teil der Attacken ebenfalls auf das Konto von Werbe-Trojanern. Doch die meisten Nutzer bekamen es mit der Familie RiskTool.AndroidOS.SMSreg zu tun. Der unachtsame Gebrauch dieser Programme kann zum Abheben von Geld von dem mobilen Konto führen.

Mobile Malware-Typen

Im Berichtszeitraum stieg die Zahl der entdeckten neuen AdWare- und RiskTool-Dateien deutlich an. Als Folge stieg ihr Anteil in der allgemeinen Verteilung der mobilen Bedrohungen nach Klassen ebenfalls spürbar an, und zwar von 19,6% und 18,4% auf 41,4% und 27,4% respektive.

Virologie mobiler Geräte 2015

Verteilung neuer mobiler Bedrohungen nach Typen
in den Jahren 2014 und 2015

Bei der Verbreitung von Werbeprogrammen (AdWare) wird ein äußerst simpler Trick eingesetzt, um die Aufmerksamkeit der Nutzer auf die Werbung zu lenken: Die Betrüger erstellen eine App mit der Symbolik (Icon und Name) eines populären Spiels oder einer nützlichen Anwendung. Populäre Spiele und nützliche Programme gibt es sehr viele, daher kann man auch eine Menge gefälschter Apps mit Werbung generieren. Je mehr solcher Fälschungen benutzt werden, desto effektiver ist die Monetarisierung durch die Klicks. Eine andere Methode zur Verbreitung von AdWare ist die Einschleusung eines Werbemoduls in eine saubere App. Das kann sowohl der Autor der App selbst als auch jemand, der sich an der Popularität seiner App bereichern will: Wenn ein Werbemodul ohne Wissen des Entwicklers der sauberen Anwendung hinzugefügt wird, erhält nicht der App-Autor die Einnahmen aus der Werbung, sondern derjenige, der die Werbung hinzugefügt hat. Im Gegensatz zu den Fälschungen enthält eine solche komplexe Anwendung auch nützliche Funktionalität.

Die zunehmende Zahl von Programmen des Typs AdWare sorgt für eine immer stärkere Konkurrenz unter ihren Entwicklern. Legale Programme, die verschiedene Werbemodule benutzten, sind häufig aggressiv. Immer öfter übersäen die das Gerät des Anwenders mit Werbung, laden verschiedene neue Apps und initiieren deren Installation. Manchmal ist es nicht mehr möglich, ein Gerät zu benutzen, auf dem sich Programme des Typs AdWare befinden, da der Nutzer ununterbrochen mit den Werbefenstern zu kämpfen hat.

Die Programme des Typs RiskTool sind in China ungemein beliebt. Das liegt daran, dass dort die Bezahlung für Content per SMS weit verbreitet ist. Daher enthält fast jedes Spiel, bei dem man auch so genannte App-interne Käufe tätigen kann (beispielsweise zusätzliche Levels in einem Spiel erwerben kann), auch ein Modul zum Bezahlen per Kurznachricht. In den meisten Fällen ist der Nutzer über die möglichen Risiken informiert, die mit solchen Bezahlungen einhergehen, allerdings halten wir es für unerlässlich, auch unsere Nutzer über diese Risiken zu informieren. Da Spiele recht populärer Content sind, ist auch die Zahl solcher Apps recht groß – und sie wird ständig größer. Den wichtigsten Beitrag zur Steigerung der Zahl von Dateien des Typs RiskTool leisteten Programme aus der Familie RiskTool.AndroidOS.SMSReg.

Auch wenn die Programme der Typen AdWare und RiskTool den Nutzern keinen direkten Schaden zufügen, geht einem die lästige Werbung auf die Nerven, und auf mobilen Geräten installierte Programme des Typs RiskTool können zu finanziellen Verlusten führen, wenn sie unachtsam gebraucht werden. Außerdem können Cyberkriminelle sie zu ihren Zwecken verwenden.

Der Anteil des Typs Trojan-SMS an allen mobilen Bedrohungen ging von 20,5% auf 8,7% zurück und verringerte sich damit um das 2,4-Fache. Trotzdem wurden im Jahr 2015 sogar noch mehr neue Trojan-SMS-Dateien als im vorangegangenen Jahr gefunden. Die Aktivität von Schadprogrammen dieses Typs ließ Mitte des Jahres 2014 stark nach. Der Grund dafür lag in der Einführung des Systems AоС (Advice-of-Charge) durch russische Betreiber, woraufhin auch die Zahl der „Partnerprogramme“ zurückging, die Trojan-SMS in Umlauf brachten. Viele Trojaner dieses Typs waren auf russische Nutzer spezialisiert.

ТOP 20 der mobilen Schadprogramme

Im unten stehenden Rating der Schadprogramme wurden potenziell unerwünschte Programme, wie die des Typs RiskTool, und Werbeprogramme (AdWare) nicht berücksichtigt.

Name Prozentualer Anteil an allen
angegriffenen Anwendern*
1 DangerousObject.Multi.Generic 44,2
2 Trojan-SMS.AndroidOS.Podec.a 11,2
3 Trojan-Downloader.AndroidOS.Leech.a 8,0
4 Trojan.AndroidOS.Ztorg.a 7,6
5 Trojan.AndroidOS.Rootnik.d 6,9
6 Exploit.AndroidOS.Lotoor.be 6,1
7 Trojan-SMS.AndroidOS.OpFake.a 5,6
8 Trojan-Spy.AndroidOS.Agent.el 4,0
9 Trojan.AndroidOS.Guerrilla.a 3,7
10 Trojan.AndroidOS.Mobtes.b 3,6
11 Trojan-Dropper.AndroidOS.Gorpo.a 3,6
12 Trojan.AndroidOS.Rootnik.a 3,5
13 Trojan.AndroidOS.Fadeb.a 3,2
14 Trojan.AndroidOS.Ztorg.pac 2,8
15 Backdoor.AndroidOS.Obad.f 2,7
16 Backdoor.AndroidOS.Ztorg.c 2,2
17 Exploit.AndroidOS.Lotoor.a 2,2
18 Backdoor.AndroidOS.Ztorg.a 2,0
19 Trojan-Ransom.AndroidOS.Small.o 1,9
20 Trojan.AndroidOS.Guerrilla.b 1,8

* Prozentualer Anteil der von diesem Schädling angegriffenen Anwender von allen angegriffenen Anwendern.

Den ersten Platz belegen schädliche Programme des Typs DangerousObject.Multi.Generic (44,2%), die mit Hilfe von Cloud-Technologien aufgespürt werden. Die Cloud-Technologien greifen dann, wenn es in den Antiviren-Datenbanken bisher keine Signaturen gibt und keine Heuristiken zur Erkennung von Schadprogrammen zur Verfügung stehen, in der Cloud von Kaspersky Lab aber bereits Informationen über das Objekt vorhanden sind. Auf diese Weise werden die allerneuesten Schadprogramme erkannt.

Trojan-SMS.AndroidOS.Stealer.a, der im Jahr 2014 die TOP 20 anführte, belegte im Jahr 2015 lediglich den 28. Platz.

Auf vier Plätzen der TOP 20 befinden sich Trojaner, die in erster Linie dadurch zur Bereicherung ihrer Betreiber beitragen, indem sie mobile Konten leeren oder Geld von den Bankkonten ihrer Opfer stehlen. Dazu gehören Trojan-SMS.AndroidOS.Podec.a, Trojan-SMS.AndroidOS.OpFake.a, Trojan.AndroidOS.Mobtes.b und Backdoor.AndroidOS.Obad.f. Trojan-SMS.AndroidOS.Podec.a belegte den zweiten Platz im Rating (11,2%). Dieser Trojaner befand sich das komplette Jahr 2015 über in den TOP 3 der mobilen Bedrohungen. Zur Erinnerung: Die letzten Versionen dieses Trojaners versenden gar keine bezahlpflichtigen SMS mehr. Jetzt meldet der Schädling die Nutzer für kostenpflichtige Abos an, wobei er sich die CAPTCHA-Erkennung zunutze macht. Trojan-SMS.AndroidOS.OpFake.a (5,6%) besetzt Position 7. Er hat ein hohes Dienstalter in diesem Rating vorzuweisen: Im letzten Jahr belegte er in der entsprechenden Hitliste Platz acht und war durchgehend in den TOP 20 vertreten.

Ein weiterer Trojaner – Trojan-Ransom.AndroidOS.Small.o (1,9%) – blockiert das Telefon des Opfers und erpresst ein Lösegeld für die Entsperrung. Ende des Jahres 2015 war er der beliebteste mobile Vertreter des Typs Trojan-Ransom und auch das einzige Erpresser-Programm unter den ersten Zwanzig. Erstmals aufgetaucht im Rating ist er im dritten Quartal 2015, als er den 11. Platz belegte. Auf das gesamte Jahr gesehen belegte er den Platz 19. Dieser Trojaner wird hauptsächlich als Pornovideo-Player getarnt verbreitet und seine Zielgruppe ist russischsprachig.

Mehr als die Hälfte der Plätze, nämlich 12 von 20 belegen Trojaner, die hauptsächlich mit Hilfe aggressiver Werbung Einnahmen generieren; es handelt sich dabei um Trojan-Downloader.AndroidOS.Leech.a, Trojan-Spy.AndroidOS.Agent.el, Trojan-Dropper.AndroidOS.Gorpo.a, Trojan.AndroidOS.Fadeb.a und mit je zwei Modifikationen Trojan.AndroidOS.Guerrilla, Trojan.AndroidOS.Rootnik, Trojan.AndroidOS.Ztorg und Backdoor.AndroidOS.Ztorg. Im Gegensatz zu normalen Werbemodulen beherbergen diese Programme keinerlei nützliche Funktionalität. Ihr Ziel besteht darin, dem Nutzer auf unterschiedliche Art und Weise möglichst viel Werbung zuzustellen, unter anderem mittels Installation neuer Werbeprogramme. Diese Trojaner können Root-Rechte nutzen, um sich im Systemverzeichnis zu verbergen, woraus sie sich nur sehr schwer wieder entfernen lassen. Derartige Trojaner traten schon früher in Erscheinung, hauptsächlich in China. In diesem Jahr beobachten wir einen regelrechten Boom dieser Programme: Die sich in ihrer Mehrheit gegen chinesische Nutzer richtenden Trojaner werden nun aktiv über den ganzen Erdball verbreitet. Im Code der Trojaner trifft man häufig auf das Wort „oversea“.

Zwei weitere Positionen im Rating belegten Modifikationen von Exploit.AndroidOS.Lotoor. Das sind Exploits, die zum Erhalt lokaler Rechte eines Superusers verwendet werden.

Mobile Bank-Trojaner

Innerhalb des Berichtzeitraums entdeckte Kaspersky Lab 7.030 mobile Bank-Trojaner. Das ist um das 2,6-Fache weniger als im Jahr 2014. Von Januar bis einschließlich Dezember wurden 16.586 mobile Bank-Trojaner gefunden. Obgleich die Zahl der entdeckten neuen Bank-Trojaner im Vergleich zum Vorjahr zurückging, sind die aktuellen Programme raffinierter und „böser“. In das Visier der Cyberkriminellen gerieten nun auch Banken aus vielen Ländern der Welt. Viele mobile Bank-Trojaner agieren selbstständig, ohne Computerkomponente, und richten sich gegen Kunden Dutzender Banken verschiedener Länder.

Virologie mobiler Geräte 2015

Anzahl mobiler Bank-Trojaner in der Sammlung von Kaspersky Lab (2015)

Insgesamt 56.194 Anwender wurden mindestens einmal von mobilen Bank-Trojanern angegriffen.

Geografie der mobilen Banken-Schädlinge

Die Zahl der angegriffenen Länder steigt: Attacken mobiler Bank-Trojaner wurden in 137 Ländern und Territorien der Welt registriert, im Jahr 2014 lag dieser Wert bei 90 Ländern.

Virologie mobiler Geräte 2015

Geografie mobiler Bank-Bedrohungen
(Anzahl angegriffener Anwender, 2015)

TOP 10 der von Bank-Trojanern angegriffenen Länder nach Anzahl der angegriffenen Anwender

Land Anzahl der angegriffenen
Anwender
1 Russland 45690
2 Deutschland 1532
3 Ukraine 1206
4 USA 967
5 Kasachstan 804
6 Australien 614
7 Südkorea 527
8 Frankreich 404
9 Weißrussland 380
10 Polen 324

Russland belegt – wie auch schon im letzten Jahr – den ersten Platz in diesem Rating. Neueinsteiger in den TOP 10 für das Jahr 2015 sind die folgenden Länder: Südkorea, Australien, Frankreich und Polen. Nicht mehr vertreten im Rating der angegriffenen Länder sind Litauen, Aserbaidschan, Bulgarien und Usbekistan.

Die Popularität von Bank-Trojanern unter Cyberkriminellen lässt sich für jedes Land aufgrund des prozentualen Anteils der von mobilen Banken-Schädlingen angegriffenen Nutzer an allen von mobilen Schädlingen angegriffenen Nutzern einschätzen.

TOP 10 der Länder nach Anteil der von mobilen Bankern angegriffenen Nutzer an allen angegriffenen Nutzern

Land Prozentualer Anteil an allen
angegriffenen Nutzern*
1 Südkorea 13,8
2 Australien 8,9
3 Russland 5,1
4 Österreich 3,0
5 Weißrussland 1,9
6 USA 1,8
7 Tadschikistan 1,7
8 Ukraine 1,6
9 Frankreich 1,6
10 Usbekistan 1,6

* Anteil der von Bank-Trojanern angegriffenen Nutzer an allen angegriffenen Nutzern mobiler Kaspersky Lab-Produkte im Land.

Ein bedeutender Teil der Angriffe mobiler Banker in Korea entfällt auf Trojaner der Familie Trojan-Banker.AndroidOS.Wroba. Diese Trojaner sind auf den Diebstahl von mobilen Bank-Accounts der größten koreanischen Banken sowie auf den Diebstahl von mTAN ausgerichtet.

In Australien entfallen die meisten Infektionsversuche auf die Familie Trojan-Banker.AndroidOS.Acecard. Bei dieser Familie handelt es sich um die jüngste Entwicklungsstufe von Backdoor.AndroidOS.Torec.a, dem ersten Android-Trojaner, der das anonyme Netzwerk TOR nutzte und den wir zu Beginn des Jahres 2014 entdeckten. Die ersten Bank-Modifikationen dieses Schädlings erschienen Mitte des Jahres 2014. Damals wurde dieser Trojaner hauptsächlich in Russland verbreitet. Erst im Jahr 2015 begann er sich aktiv in Australien auszubreiten. Eine der von uns entdeckten Modifikationen dieses Trojaners vom November 2015 ist in der Lage, die Oberfläche von 24 Banken-Apps mit einem Phishing-Fenster zu überdecken. Fünf dieser Anwendungen gehören zu australischen Banken, je vier zu Banken in Honkong, Österreich und Neuseeland, je drei Apps entfielen auf deutsche und Banken aus Singapur. Eine gehörte zu PayPal. Zudem gibt es auch Modifikationen, die es auf amerikanische und russische Banken abgesehen haben.

Virologie mobiler Geräte 2015

Phishing-Fenster des Trojaners Acecard

Die Methode, Login-Daten und Passwörter zu stehlen, indem die Originalanwendung mit einem Phishing-Fenster überdeckt wird, ist im Übrigen nicht neu. Erstmals stießen wir in dem Trojaner Trojan-SMS.AndroidOS.Svpeng auf diese Funktionalität. In unserem Bericht für das erste Quartal 2015 wiesen wir auf den Trojaner Trojan-SMS.AndroidOS.OpFake.cc hin, der in der Lage war, mindestens 29 Bank- und Finanzanwendungen anzugreifen. Die allerneuste Version dieses Trojaners kann sogar 114 Bank- und Finanzanwendungen angreifen. Sein Hauptziel liegt im Diebstahl von Login-Daten und Passwörtern zu Bankkonten. Er überdeckt außerdem auch die Fenster einiger populärer E-Mail-Programme.

In Russland, das den dritten Platz in diesem Rating belegt, waren Trojan-Banker.AndroidOS.Faketoken und Trojan-Banker.AndroidOS.Marcher die unter Cyberkriminellen beliebtesten Schädlinge. Seit April beobachten wir einen drastischen Rückgang der Infektionsversuche durch Vertreter der Familie Trojan-Banker.AndroidOS.Marcher. Innerhalb von 5 Monaten, von April bis August, ging die Zahl der Angriffe durch diesen Trojaner um den Faktor 5 zurück. Möglicherweise bereiteten sich die Cyberkriminellen in dieser Zeit auf Attacken auf Nutzer in anderen Ländern vor: Bis September 2015 wurde diese Familie praktisch ausschließlich in Russland verbreitet. Seit September entfallen etwa 30% der Angriffe dieses Trojaners auf Australien, Deutschland und Frankreich.

Der oben erwähnte Schädling Trojan-Spy.AndroidOS.SmsThief.fc wurde in Russland verbreitet. Die Angreifer schleusten ihren Code in die originale Banken-App ein, ohne dabei ihre Funktionsfähigkeit zu beeinträchtigen. Damit war der Trojaner noch schwerer aufzuspüren.

Mobile Schädlinge des Typs Trojan-Ransom

Im Jahr 2015 hat sich die Zahl der von Kaspersky Lab entdeckten Trojaner-Familien der Klasse Trojan-Ransom gegenüber dem Jahr 2014 praktisch verdoppelt. Die Anzahl der innerhalb dieses Zeitraums entdeckten Modifikationen stieg um das 3,5-Fache und betrug 6.924.

Innerhalb des Berichtzeitraums wurden 94.344 individuelle Nutzer von mobilen Erpresser-Programmen angegriffen, das sind 5 Mal mehr als im vorangegangenen Jahr (18.478). Der Anteil der von Schädlingen der Klasse Trojan-Ransom angegriffenen Anwender, die von mobilen Schädlingen angegriffen wurden, stieg innerhalb eines Jahres von 1,1% auf 3,8%.

In 156 Ländern und Territorien der Welt wurden zumindest einmal im Laufe des Jahres Angriffe mobiler Erpresser-Programme registriert.

Virologie mobiler Geräte 2015

Geografie mobiler Erpresser-Programme
(Anzahl der angegriffenen Anwender, 2015)

TOP 10 der Länder nach Anzahl der von Schädlingen der Klasse Trojan-Ransom angegriffenen Anwender

Land Zahl der angegriffenen Anwender
1 Russland 44951
2 Deutschland 15950
3 Kasachstan 8374
4 USA 5371
5 Ukraine 4250
6 Großbritannien 2878
7 Italien 1313
8 Spanien 1062
9 Iran 866
10 Indien 757

Die Länder mit den meisten von Erpresser-Programmen angegriffenen Nutzer sind Russland, Deutschland und Kasachstan.

In Russland und Kasachstan verbreitet sich die Familie Trojan-Ransom.AndroidOS.Small am stärksten. Insbesondere die Modifikation Trojan-Ransom.AndroidOS.Small.o, waren im Jahr 2015 am populärsten.

Im Laufe des gesamten Jahres 2015 war auch die Familie Trojan-Ransom.AndroidOS.Pletor äußerst beliebt – der erste mobile Verschlüsselungsschädling. Interessant ist, dass er von derselben Verbrecherbande entwickelt wurde wie auch Trojan-Banker.AndroidOS.Acecard.

In Deutschland verbreitet sich die Familie Trojan-Ransom.AndroidOS.Fusob am stärksten.

Virologie mobiler Geräte 2015

Fenster, das der Trojaner Fusob öffnet

Die USA belegten den vierten Platz in diesem Rating. Hier ist die Familie Trojan-Ransom.AndroidOS.Fusob am weitesten verbreitet. Ebenfalls recht viele Attacken entfallen auf die Familie Trojan-Ransom.AndroidOS.Svpeng.

Dieses Rating hängt in vielerlei Hinsicht von der Zahl der Anwender in jedem Land ab. Daher ist auch das Rating nach Anteil der von Trojan-Ransom angegriffenen Anwender an allen angegriffenen Anwendern im Land interessant.

TOP 10 der Länder nach Anteil der von Trojan-Ransom angegriffenen Anwender von allen angegriffenen Anwendern

Land Prozentualer Anteil von allen
angegriffenen Anwendern *
1 Kasachstan 15,1
2 Deutschland 14,5
3 USA 10,3
4 Kanada 8,9
5 Niederlande 8,8
6 Großbritannien 8,3
7 Schweiz 6,9
8 Österreich 6,4
9 Ukraine 5,9
10 Australien 5,5

* Prozentualer Anteil der von Schädlingen der Klasse Trojan-Ransom angegriffenen Anwender von allen angegriffenen Anwendern von mobilen Kaspersky Lab-Produkten im Land.

Russland, das Land in dem die meisten Anwender angegriffen werden, ist noch nicht in diesem Rating vertreten. Die Spitzenplätze in diesen TOP 10 belegen Kasachstan, Deutschland und die USA.

Fazit

Auch wenn die ersten Werbe-Trojaner, die Root-Rechte zu ihren Zwecken nutzen, bereits vor einigen Jahren in Erscheinung traten, so stieg ihre Zahl erst im letzten Jahr extrem an. Sie verbreiten sich nun äußerst rasant. Während im ersten Quartal 2015 nur ein einziger Trojaner dieser Art unter den zwanzig der am weitesten verbreiteten Bedrohungen war, stellen diese Programme im Gesamtjahresrating 2015 bereits über die Hälfte der TOP 20. Sie werden mit allen verfügbaren Mitteln verbreitet – über andere Werbeprogramme, über App-Shops, und auf einigen Geräten sind sie sogar vorinstalliert. Höchstwahrscheinlich wird die Zahl der Werbe-Trojaner die Superuser-Rechte nutzen, im Jahr 2016 weiter steigen.

Wir haben bereits Fälle beobachtet, in denen solche Werbe-Trojaner zur Verbreitung mobiler Schadprogramme eingesetzt wurden. Es besteht also ein berechtigter Grund zur Annahme, dass Cyberverbrecher immer aktiver Werbe-Trojaner einsetzen werden, um die mobilen Geräte der Nutzer mit Malware zu infizieren.

Wir haben überdies auch schon erlebt, dass andere Schadprogramm-Typen, in erster Linie Trojan-Ransom, Root-Rechte benutzt haben.

Im Jahr 2016 werden sich die Trojaner des Typs Trojan-Ransom mit hoher Wahrscheinlichkeit weiter entwickeln. Wir erwarten, dass Erpresser-Trojaner unter Online-Kriminellen immer populärer werden und sich auch geografisch ausbreiten.

Ein anderer Trojaner-Typ, den wir auch im Jahr 2016 weiterhin aufmerksam beobachten werden, ist die Kategorie Trojan-Banker. Es existiert bereits eine große Zahl an Bank-Trojanern, die kein Komplizen-Programm auf dem Computer des Opfers mehr benötigen. Diese Trojaner agieren selbstständig: Um dem Anwender sein Geld zu stehlen, müssen sie lediglich sein Telefon infizieren. Sie sind in der Lage, Login-Daten und Passwort für das mobile Banking zu stehlen, indem sie die Oberfläche der legitimen Banken-App mit einem Phishing-Fenster überdecken. Sie können die Kreditkartendaten des Nutzers mit Hilfe eines Phishing-Fensters stehlen. Darüber hinaus verfügen sie über ausreichend Möglichkeiten, um die Kommunikation der Bank mit dem Kunden abzufangen; sie können eingehende SMS stehlen und Anrufe zu dem verantwortlichen Cyberverbrecher umleiten. Im Jahr 2016 werden mobile Bank-Trojaner noch mehr Finanzorganisationen angreifen. Dabei werden sie neue Verbreitungsvektoren und neue Technologien zum Datendiebstahl nutzen.

Je weiter die Entwicklung mobiler Geräte und mobiler Dienste voranschreitet, desto größer wird der Appetit der Cyberkriminellen. Die Malware-Autoren verbessern ihre Machwerke laufend. Sie entwickeln neue Technologien und suchen nach neuen Verbreitungswegen für die mobilen Schädlinge. Sie fokussieren sich dabei auf das Geld der Nutzer. Daher ist es äußerst riskant, den Schutz mobiler Geräte zu vernachlässigen.

Related Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.