Virologie mobiler Geräte 2016

Inhalt

Die Zahlen des Jahres

Im Jahr 2016 entdeckte Kaspersky Lab:

  • 8.526.221 schädliche Installationspakete
  • 128.886 mobile Bank-Trojaner
  • 261.214 mobile Erpresser-Trojaner
  • Zunehmende Beliebtheit von Malware mit Superuser-Rechten, in erster Linie handelt es sich dabei um Werbe-Trojaner.
  • Verbreitung von Schädlingen über den Google Play Store und Werbedienste.
  • Erscheinen von Methoden zur Umgehung neuer Schutzmechanismen im Betriebssystem Android.
  • Zunahme der Zahl mobiler Erpresserprogramme.
  • Aktive Entwicklung mobiler Bank-Trojaner.

Malware mit Superuser-Rechten

Die beliebtesten Trojaner des Jahres 2016 waren Werbetrojaner, die sich Root-Rechte aneignen können. Zu diesem Zweck nutzen sie eine Reihe von Sicherheitslücken aus, die in den neuen Android-Versionen zumeist bereits geschlossen wurden. Leider wird ein großer Teil der Geräte von seinen Anwendern nicht aktualisiert, daher bleiben sie angreifbar.

Root-Rechte bieten einem Trojaner praktisch unbegrenzte Möglichkeiten. Sie erlauben ihm die verborgene Installation weiterer Werbe-Apps sowie das Anzeigen von Werbung auf dem infizierten Gerät, wodurch es in den meisten Fällen unmöglich wird, das Smartphone weiterhin zu benutzen. Neben dem aggressiven Anzeigen von Werbung und der Installation von Dritt-Software sind Trojaner dieser Art sogar in der Lage, Apps bei Google Play zu kaufen.

Dabei installiert der Schädling seine Module im Systemverzeichnis, wodurch die Desinfektion des befallenen Gerätes äußerst schwierig wird. Einige Werbetrojaner können sogar das Wiederherstellungsabbild infizieren, was dazu führt, dass das Zurücksetzen auf die Werkseinstellungen unmöglich wird.

Doch derartige Trojaner können nicht nur insgeheim Werbeprogramme installieren, sondern auch schädliche Anwendungen. Kaspersky Lab verfolgte einen Fall, in dem die modulare Download-Anwendung Backdoor.AndroidOS.Triada installiert wurde, nachdem sie den Zygote-Prozess modifiziert hatte. Dadurch konnte sich der Schädling im System einnisten, die von anderen Anwendungen verschickten SMS-Nachrichten ändern und dem Inhaber des infizierten Gerätes auf diese Weise Geld stehlen. Die Superuser-Rechte gaben dem Trojaner die Möglichkeit, praktisch alles nur Erdenkliche zu tun, unter anderem die URL im Browser auszutauschen.

Die Vertreter dieser Malware-Klasse wurden mehr als nur einmal im Google Play Store aufgespürt, beispielsweise in Form einer Anleitung für das beliebte Spiel Pokemon GO. Diese App wurde mehr als eine halbe Million Mal heruntergeladen und wird als Trojan.AndroidOS.Ztorg.ad detektiert.

Virologie mobiler Geräte 2016

Trojan.AndroidOS.Ztorg.ad getarnt als Anleitung für Pokemon GO

Cyberkriminelle nutzen weiterhin Google Play aus

Im Laufe der Monate Oktober und November identifizierten wir bei Google Play um die 50 neue Anwendungen, die mit einer neuen Modifikation des Schädlings Trojan.AndroidOS.Ztorg.ad – Trojan.AndroidOS.Ztorg.am – infiziert waren. Dem Installationszähler nach zu urteilen waren viele von ihnen mehr als 100.000 Mal installiert worden.

Virologie mobiler Geräte 2016

TTrojan.AndroidOS.Ztorg.am getarnt als Videoplayer

Über Google Play wurden auch Trojaner verbreitet, die für den Diebstahl von Identifikationsdaten vorgesehen sind. Einer dieser Schädlinge – Trojan-Spy.AndroidOS.Instealy.a – stahl Benutzername und Passwort für Instagram. Ein zweiter, Trojan-PSW.AndroidOS.MyVk.a, wurde mehrmals bei Google Play veröffentlicht und war auf den Diebstahl von Anmeldedaten für das russischsprachige Soziale Netzwerk „VKontakte“ spezialisiert.

Als weiteres Beispiel könnte man den Erpresser-Trojaner Trojan-Ransom.AndroidOS.Pletor.d ins Feld führen, der von Online-Verbrechern als Anwendung zum Aufräumen des Betriebssystems verbreitet wurde. Normalerweise verschlüsseln die Vertreter der Familie Trojan-Ransom.AndroidOS.Pletor die Dateien auf dem infizierten Gerät, doch die entdeckte Modifikation hat es lediglich blockiert und Geld vom Nutzer gefordert, um die Sperrung wieder aufzuheben.

Virologie mobiler Geräte 2016

TTrojan-Ransom.AndroidOS.Pletor.d getarnt als App zum Säubern des Systems

Umgehung der Schutzmechanismen in Android

Cyberverbrecher sind fortwährend auf der Suche nach Mitteln und Wegen, neue Schutzmechanismen in Android zu umgehen. So entdeckten wir zu Beginn des Jahres 2016, dass einige Modifikationen des SMS-Trojaners Tiny in der Lage sind, mit ihrem Fenster den Text einer Systemmitteilung zu überdecken, die den Nutzer vor dem Versand einer SMS an eine Kurznummer warnt. Der Besitzer des Smartphones, der den Originaltext nicht zu sehen bekommt, weiß gar nicht, zu welchem Vorgang er seine Zustimmung erteilt und verschickt eine Nachricht an eine von den Cybergangstern bestimmte Nummer.

Einen ähnlichen Ansatz verwendet Trojan-Banker.AndroidOS.Asacub, um Administratorenrechte auf dem Gerät zu erhalten. Indem er die Anfrage des Systems vor dem Anwender verbirgt, bringt der Trojaner ihn dazu, ihm zusätzliche Privilegien zu gewähren. Asacub versucht zudem, als Standardanwendung für die Arbeit mit SMS festgelegt zu werden, wodurch er in den neuen Android-Versionen sogar Zugriff auf die Kurzmitteilungen erhält.

Die Autoren des Bank-Trojaners Trojan-Banker.AndroidOS.Gugi gingen sogar noch einen Schritt weiter. Dieser Schädling ist nämlich in der Lage, zwei neue Schutzmechanismen in Android 6 zu umgehen, wobei er sich ausschließlich Methoden des Social Engineerings bedient. Ohne irgendwelche Sicherheitslücken im System auszunutzen, umgeht Gugi Schutzfunktionen wie das berechtigungsbasierte Überdecken von Apps und die Erfordernis dynamischer Berechtigungen für potenziell gefährliche In-App-Aktivitäten.

Mobile Erpresserprogramme

Während der erste mobile Erpressertrojaner die Daten des Nutzers auf dem Gerät tatsächlich noch verschlüsselte und Geld für deren Dechiffrierung verlangte, so überdecken moderne Erpresserprogramme einfach alle offenen Fenster (inklusive Systemanzeigen) mit ihrem eigenen Fenster mit den Lösegeldforderungen und machen es auf diese Weise unmöglich, das Gerät zu benutzen.

Nach demselben Prinzip funktioniert auch der im Jahr 2016 beliebteste mobile Erpresserschädling Trojan-Ransom.AndroidOS.Fusob. Interessant ist, dass dieser Trojaner Nutzer aus Deutschland, den USA und Großbritannien angreift, Anwender aus der GUS und einigen angrenzenden Staaten allerdings meidet (nach dem Start überprüft der Schädling die Systemsprache, woraufhin er seine Arbeit abbrechen kann). Für das Entsperren fordert der Trojaner ein Lösegeld in Höhe von 100 bis 200 US-Dollar in Form von Codes von Prepaid-iTunes-Karten.

Wir möchten noch auf eine andere Methode hinweisen, ein Gerät zu blockieren, die von der in China äußerst populären Familie Trojan-Ransom.AndroidOS.Congur angewandt wird. Die Vertreter dieser Erpresser-Art ändern den PIN-Code des mobilen Gerätes oder aktivieren diese Funktion, indem sie ihren eigenen PIN-Code einstellen. Zu diesem Zweck benötigt der Schädling Administratorenrechte. Um das Gerät wieder entsperren zu können, wird das Opfer aufgefordert, sich mit den Cybererpressern über die App QQ International in Verbindung zu setzen.

Mobile Bank-Trojaner wurden im Laufe des Jahres aktiv weiterentwickelt. Viele von ihnen wurden mit Methoden zur Umgehung neuer Schutzmechanismen in Android ausgestattet und waren auf diese Weise in der Lage, auch auf den neusten Versionen dieses Betriebssystems Anwenderdaten zu stehlen. Zudem integrierten die Entwickler von Bank-Schädlingen immer neue Funktionen in ihre Machwerke. So leitete beispielsweise die Familie Marcher im Laufe mehrerer Monate die Nutzer von Webseiten von Finanzorganisationen auf Phishing-Webseiten um.

Überdies verfügen viele Banktrojaner über eine Funktion zum Erpressen von Geld: Auf Befehl vom Server können sie die Arbeit des Gerätes durch ein Fenster mit Lösegeldforderungen blockieren. Wie wir herausgefunden haben, ist eine Modifikation von Trojan-Banker.AndroidOS.Faketoken nicht nur in der Lage, das Systeminterface mit „sich selbst zu überdecken“, sondern auch die Anwenderdaten zu verschlüsseln.

Unbedingt zu erwähnen ist in diesem Zusammenhang die Tatsache, dass die Cyberverbrecher, die Schädlinge für Android entwickeln, auch eins der Top-Themen 2016, nämlich IoT-Geräte, nicht außer Acht gelassen haben. Unter anderem entdeckten wir den Trojaner Switcher, der Router angreift, mit deren Wi-Fi-Netz ein infiziertes Gerät verbunden ist. Wenn es dem Trojaner gelingt, das Passwort für den Router abzufangen, ändert er die DNS-Einstellungen und führt eine DNS-Hijacking-Attacke durch.

Ein Blick in das Dark Web. Ein Beitrag des „Global Complex for Innovation“ von INTERPOL.

Das Dark Web bietet kriminellen Akteuren einen Weg zu kommunizieren und kommerzielle Transaktionen durchzuführen, wie z.B. den An- und Verkauf von verschiedenen Produkten und Dienstleistungen, unter anderem auch Malware-Kits. Käufer und Verkäufer nutzen zunehmend die vielschichtige Sicherheit und die geschäftsorientierten Mechanismen, die sich bei Kryptomärkten auf Tor (The Onion Router) etabliert haben, wie etwa die Verwendung von Kryptowährungen, Drittadministrationsservices (escrow), Multi-Signatur-Transaktionen, Verschlüsselung, Reputations-/Feedback-Tracking und mehr. INTERPOL hat die wichtigsten Plattformen im Dark Web untersucht und festgestellt, dass mobile Malware dort in Form von Softwarepaketen zum Verkauf angeboten wird (d.h. also Remote Access Trojaner – RATs), aber auch in Form von individuellen Lösungen, als technisch ausgefeilte Tools, die von professionellen Firmen entwickelt wurden, oder in geringerem Maße als Teil eines Modells des Typs ‚Bot as a Service‘. Mobile Malware ist zudem ein wichtiges Thema in Anbieter-Shops, Foren und sozialen Medien.

Marktplätze

Eine Reihe von mobilen Malware-Produkten und –Services werden auf Marktplätzen im Dark Web zum Kauf angeboten. Mobile Malware wird oft als Teil eines Paketes beworben, das beispielsweise auch Remote Access Trojaner (RATs), Phishing-Seiten oder ‚Hacking‘-Softwarebundles beinhalten kann, die beispielsweise aus forensischen oder Passwort knackenden Tools bestehen. Auch individuelle/einteilige Tools werden zum Verkauf angeboten. So wurde zum Beispiel DroidJack von verschiedenen Anbietern auf drei Marktplätzen beworben. Dieser populäre Android-RAT wird zu einem hohen Preis offen im Clearnet verkauft, der Preis im Darknet ist allerdings sehr viel geringer.

Beide Varianten (im Paket oder einzeln) werden manchmal mit Anleitung geliefert, in denen Methoden zum Hacken gängiger Betriebssysteme beschrieben werden, wie etwa Android und iOS. Auch andere raffinierte Tools werden im Dark Web angeboten, wie zum Beispiel Galileo, ein Fernkontrollsystem, das von dem italienischen IT-Unternehmen Hacking Team entwickelt wurde, um entfernt auf Geräte unter Android, iOS, BlackBerry, Windows oder OS X zuzugreifen und diese dann auszunutzen. Ein weiteres Beispiel ist der Quellcode von Acecard. Diese Malware ist dafür bekannt, dass sie mobile Banking-Apps mit ihrem eigenen Bildschirm überdeckt und dann die Login-Daten der Nutzer an entfernte Angreifer weiterleitet. Der Schädling kann zudem auf solche SMS zugreifen, die für Betrüger potentiell nützliche Codes für die Zwei-Faktoren-Authentifizierung enthalten.

Der Android Bot Rent Service (BaaS oder Bot as a Service) wird auch zum Kauf angeboten. Der Bot kann benutzt werden, um Finanzinformationen von Android-Telefonen zu sammeln und kommt mit zahlreichen Features und Dokumentationen daher, sowohl in russischer als auch in englischer Sprache. Weitere Funktionen und Spezifikationen können bei Bedarf entwickelt werden. Dieser Service kostet bis zu 2.500 US-Dollar pro Monat bzw. 650 Dollar pro Woche.

Mobile Phishing-Produkte zum Diebstahl von Finanzinformationen, Tools, die Telefone via Bluetooth kontrollieren oder die IMEI (International Mobile Equipment Identity) ändern, sowie zahlreiche Android-RATs, die auf das Abfangen von Textnachrichten, Anruflisten und Standorten ausgerichtet sind und zudem auf die Kamera des Gerätes zugreifen, werden ebenfalls auf Darknet-Marktplätzen angeboten.

Anbieter-Shops, Foren und soziale Medien

Anbieter-Shops sind unabhängige Plattformen, die von einem einzelnen oder einer Gruppe von Anbietern geschaffen wurden, die sich einen Kundenstamm auf einem Marktplatz aufgebaut und sich dann entschlossen haben, ihr eigenes Geschäft aufzuziehen. Im Allgemeinen haben diese Shops keine Foren und bieten nur einen einzigen illegalen Warentyp an, wie etwa Drogen oder gestohlene persönliche Informationen, aber sie verkaufen auch mobile Malware (DroidJack). Manchmal werden die Malware-Produkte um Tutorials ergänzt und in Foren-Threads und sozialen Medien finden sich Informationen darüber, welche Tools für welchen Zweck geeignet sind und wie sie richtig installiert und eingesetzt werden. Überdies fand man heraus, dass ein verborgener Hacking-News-Service auf Tor Informationen enthält, wie die mobile Malware Dendroid konfiguriert wird. Dieser RAT, der in der Lage ist, SMS abzufangen, Fotos herunterzuladen und Dialogfenster zu öffnen, um Passwörter abzufischen, stammt aus dem Jahr 2014, wurde 2016 aber noch immer als Teil verschiedener Pakete auf unterschiedlichen Marktplätzen angeboten.

Aufgrund seiner zuverlässigen Anonymität, der OPSEC-Techniken, der niedrigen Preise und der kundenorientierten Strategie bleibt das Dark Web ein attraktives Medium zur Durchführung illegaler Geschäfte und Aktivtäten und ein Medium, aus dem bestimmte kriminelle Bereiche erwachsen und in Zukunft gedeihen können. Die Entwicklung innovativer technischer Lösungen (in enger Zusammenarbeit mit der akademischen Welt, Forschungsinstituten und der Privatwirtschaft), internationaler Kooperation und Hilfe zur Selbsthilfe sind die Stützpfeiler im Kampf gegen die Ausnutzung des Darknets durch Kriminelle.

Statistik

Im Jahr 2016 registrierte Kaspersky Lab eine deutliche Zunahme der Zahl mobiler schädlicher Pakete auf insgesamt 8.526.221, das sind fast drei Mal mehr als im Jahr 2015. Zum Vergleich: Von 2004 bis 2013 entdeckten wir über zehn Millionen schädliche Installationspakete. Im Jahr 2014 waren es etwa 2,5 Millionen.

Im Zeitraum von Anfang Januar 2016 bis Ende Dezember 2016 wehrte Kaspersky Lab mehr als 40 Attacken von mobiler Malware ab und schützte damit 4.018.234 individuelle Android-Geräte (gegenüber 2,6 Millionen im Jahr 2015).

Virologie mobiler Geräte 2016

TZahl der von Kaspersky-Lab-Produkten abgewehrten Attacken im Jahr 2016

Virologie mobiler Geräte 2016

TZahl der von Kaspersky-Lab-Produkten geschützten Anwender im Jahr 2016

Geografie der mobilen Bedrohungen

Attacken mobiler Malware wurden in mehr als 230 Ländern und Gebieten der Welt registriert.

Virologie mobiler Geräte 2016

TGeografie der mobilen Bedrohungen (Zahl der angegriffenen Anwender im Jahr 2016)

Top 10 der Länder nach prozentualem Anteil der von mobilen Schädlingen angegriffenen Anwender

Land* Prozentualer Anteil
der angegriffenen Anwender**
1 Bangladesch 50,09
2 Iran 46,87
3 Nepal 43,21
4 China 41,85
5 Indonesien 40,36
6 Algerien 36,62
7 Nigeria 35,61
8 Philippinen 34,97
9 Indien 34,18
10 Usbekistan 31,96

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der aktiven Nutzer von Kaspersky Anti-Virus im Berichtszeitraum unter 25.000 lag.


** Prozentualer Anteil individueller Anwender, die im Land angegriffen wurden, an allen Nutzern von Kaspersky Anti-Virus in diesem Land.

China, das im vorangegangenen Jahr den ersten Platz in dem entsprechenden Rating belegt hatte, konnte seine Führungsposition auch im Laufe der ersten Jahreshälfte 2016 noch behaupten. Auf das gesamte Jahr gesehen rutschte das Land jedoch auf Position vier ab und überließ Bangladesch den Spitzenplatz, das im Verlaufe des gesamten Jahres hohe Platzierungen in den entsprechenden Ratings einnahm. In diesem Land hatte es mehr als die Hälfte aller Nutzer von Kaspersky-Lab-Produkten für mobile Geräte mit Schadprogrammen zu tun.

Die am weitesten verbreiteten mobilen Schädlinge in Bangladesch waren im Jahr 2016 Vertreter von Werbetrojanern, die zu den Familien Ztorg und Iop gehören, sowie Werbeprogramme der Familie Sprovider. Diese Schädlinge, ebenso wie Vertreter der Familien AdWare.AndroidOS.Ewind und AdWare.AndroidOS.Sprovider, sind am häufigsten auf den Geräten der Nutzer in allen Ländern der Тop 10 anzutreffen, mit Ausnahme von China und Usbekistan.

In China waren die Trojaner Backdoor.AndroidOS.Fakengry.h und Backdoor.AndroidOS.GinMaster.a am weitesten verbreitet, ebenso wie Vertreter der Klasse RiskTool.AndroidOS.

Der größten Beliebtheit in Usbekistan erfreuten sich die Schädlinge Trojan-SMS.AndroidOS.Podec.a und Trojan-FakeAV.AndroidOS.Mazig.b. Überdies waren in Usbekistan häufig Vertreter der Werbetrojaner-Familien Ztorg und Iop anzutreffen sowie Werbeprogramme der Familie Sprovider.

Mobile Malware-Typen

Beginnend mit diesem Jahr berechnen wir die Verteilung der mobilen Programme nach Typen basierend auf der Zahl der entdeckten Installationspakete und nicht mehr ausgehend von der Zahl der Modifikationen, wie es früher der Fall war.

Virologie mobiler Geräte 2016

TVerteilung neuer mobiler Bedrohungen nach Typen in den Jahren 2015 und 2016

Am stärksten zugenommen hat im Vergleich zum Vorjahr die Zahl der entdeckten neuen Bedrohungen des Typs RiskTool, und zwar von 29 Prozent im Jahr 2015 auf 43 Prozent im Jahr 2016. In derselben Zeit ging der Anteil der neuen Werbeprogramme (AdWare) von 22 auf 13 Prozent zurück.

Das zweite Jahr in Folge geht der Anteil der Installationspakete des Typs Trojan-SMS an allen entdeckten Dateien zurück, und zwar von 24 auf elf Prozent, der deutlichste Rückgang insgesamt. Trotzdem bedeutet das keinesfalls, dass die Bedrohung Trojan-SMS nicht mehr aktuell ist, denn im Verlauf des Jahres 2016 entdeckten wir immerhin fast 700.000 neue Installationspakete.

Am stärksten zugelegt hat der Malware-Typ Trojan-Ransom: Sein Anteil unter allen im Jahr 2016 entdeckten Installationspaketen stieg fast um das 6,5-Fache, und zwar auf vier Prozent. Diese Zunahme lässt sich in erster Linie auf die aktive Verbreitung zweier mobiler Erpresser-Familien zurückführen, und zwar Trojan-Ransom.AndroidOS.Fusob und Trojan-Ransom.AndroidOS.Congur.

Тop 20 der mobilen Schadprogramme

Im unten stehenden Rating der Schadprogramme wurden potenziell unerwünschte Programme wie die des Typs RiskTool und Werbeprogramme (AdWare) nicht berücksichtigt.

Name Prozentualer Anteil an
allen angegriffenen Anwendern*
1 DangerousObject.Multi.Generic 67,93
2 Backdoor.AndroidOS.Ztorg.c 6,58
3 Trojan-Banker.AndroidOS.Svpeng.q 5,42
4 Trojan.AndroidOS.Iop.c 5,25
5 Backdoor.AndroidOS.Ztorg.a 4,83
6 Trojan.AndroidOS.Agent.gm 3,44
7 Trojan.AndroidOS.Ztorg.t 3,21
8 Trojan.AndroidOS.Hiddad.v 3,13
9 Trojan.AndroidOS.Ztorg.a 3,11
10 Trojan.AndroidOS.Boogr.gsh 2,51
11 Trojan.AndroidOS.Muetan.b 2,40
12 Trojan-Ransom.AndroidOS.Fusob.pac 2,38
13 Trojan-Ransom.AndroidOS.Fusob.h 2,35
14 Trojan.AndroidOS.Sivu.c 2,26
15 Trojan.AndroidOS.Ztorg.ag 2,23
16 Trojan.AndroidOS.Ztorg.aa 2,16
17 Trojan.AndroidOS.Hiddad.an 2,12
18 Trojan.AndroidOS.Ztorg.i 1,95
19 Trojan-Dropper.AndroidOS.Agent.cv 1,85
20 Trojan-Dropper.AndroidOS.Triada.d 1,78

*Prozentualer Anteil der von diesem Schädling angegriffenen Anwender an allen angegriffenen Anwendern.

Den ersten Platz in unseren Top 20 für 2016 belegen Objekte des Typs DangerousObject.Multi.Generic (67,93 %), die mit Hilfe von Cloud-Technologien aufgespürt werden. Die Cloud-Technologien greifen dann, wenn es in den Antiviren-Datenbanken bisher keine Signaturen gibt und keine Heuristiken zur Erkennung von Schadprogrammen zur Verfügung stehen, in der Cloud von Kaspersky Lab aber bereits Informationen über das Objekt vorhanden sind. Auf diese Weise werden die allerneuesten Schadprogramme erkannt.

Platz zwei belegt Backdoor.AndroidOS.Ztorg.c, ein Werbetrojaner, der die Rechte eines Superusers nutzt, um unbemerkt verschiedene Anwendungen zu installieren. Bemerkenswert ist auch, dass im Jahr 2016 insgesamt sechzehn Werbetrojaner im Rating vertreten waren (in der Tabelle blau hervorgehoben), das sind vier mehr als im entsprechenden Rating für das Jahr 2015.

Auf Position drei befindet sich Trojan-Banker.AndroidOS.Svpeng.q, der populärste mobile Bank-Trojaner des Jahres 2016. Seine Beliebtheit hat er der Verbreitung über das Werbenetz AdSense zu verdanken. Gesondert zu erwähnen ist auch, dass aufgrund einer Sicherheitslücke im Browser Chrome keine Interaktion seitens des Nutzers notwendig war, um den Trojaner auf das Gerät zu laden. Mehr als die Hälfte der Nutzer, die im Jahr 2016 mit mobilen Banktrojanern konfrontiert wurden, hatten es auch mit Vertretern der Familie Svpeng zu tun. Diese Trojaner verwenden ein Phishing-Fenster, um Bankkartendaten zu stehlen und greifen zudem SMS-Banking-Systeme an.

Die Plätze zwölf und 13 belegen Vertreter der mobilen Erpresserfamilie Fusob – Trojan-Ransom.AndroidOS.Fusob.pac und Trojan-Ransom.AndroidOS.Fusob.h. Diese Trojaner blockieren die Funktionsfähigkeit des Gerätes mit Hilfe eines eigenen Fensters und fordern ein Lösegeld für das Entsperren des Gerätes.

Mobile Bank-Trojaner

Im Jahr 2016 entdeckten die Experten von Kaspersky Lab 128.886 Installationspakete mobiler Bank-Trojaner, das sind 1,6 Mal mehr als im vorangegangenen Jahr.

Virologie mobiler Geräte 2016

TAnzahl der von Kaspersky Lab entdeckten Installationspakete mobiler Bank-Trojaner im Jahr 2016

Im Jahr 2016 wurden 305.543 Anwender in 164 Ländern der Welt von mobilen Bank-Trojanern angegriffen. Zum Vergleich: Im Jahr 2015 waren es 56.194 Anwender aus 137 Ländern.

Virologie mobiler Geräte 2016

TGeografie mobiler Bank-Bedrohungen (Anzahl angegriffener Anwender im Jahr 2016)

Top 10 der von Bank-Trojanern angegriffenen Länder nach Anteil der von mobilen Bankschädlingen angegriffenen Nutzer an allen Nutzern im Land

Land* Prozentualer Anteil
der angegriffenen Anwender**
1 Russland 4,01
2 Australien 2,26
3 Ukraine 1,05
4 Usbekistan 0,70
5 Tadschikistan 0,65
6 Südkorea 0,59
7 Kasachstan 0,57
8 China 0,54
9 Weißrussland 0,47
10 Moldawien 0,39

* Aus dem Rating sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Anti-Virus im Berichtszeitraum unter 25.000 lag.

** Prozentualer Anteil individueller Anwender, die im Land von mobilen Bank-Trojanern angegriffen wurden, an allen Nutzern von Kaspersky Anti-Virus im Land.

In Russland, das in diesem Rating den ersten Platz belegt, hatten es vier Prozent der Nutzer mit mobilen Banktrojanern zu tun. Das sind in etwa doppelt so viele wie in Australien auf Rang zwei. Diese Differenz lässt sich auf die Tatsache zurückführen, dass der populäre mobile Banktrojaner Svpeng in erster Linie in Russland verbreitet wurde. Neben diesem Schädling waren dort auch Vertreter der Familien Asacub und Faketoken sehr beliebt.

In Australien wurden die Vertreter der Familien Trojan-Banker.AndroidOS.Acecard und Trojan-Banker.AndroidOS.Marcher am aktivsten verbreitet. In Südkorea (Platz sieben) waren die Vertreter der Familie Trojan-Banker.AndroidOS.Wroba die populärsten Bank-Trojaner.

In allen übrigen Ländern aus unseren Тop 10 wurden die Familien mobiler Bankschädlinge Trojan-Banker.AndroidOS.Faketoken und Trojan-Banker.AndroidOS.Svpeng am weitesten verbreitet. Die Vertreter der letztgenannten Familie wurden im Jahr 2016 am aktivsten verbreitet: Mehr als die Hälfte der Nutzer mobiler Geräte wurde von eben diesen Schädlingen attackiert. Wie bereits oben erwähnt, hängt das mit der Verbreitung dieser Malware über das Werbenetzwerk AdSense und ihrem unbemerkten Download dank einer Sicherheitslücke im mobilen Browser zusammen.

Am zweitbeliebtesten war die Familie Trojan-Banker.AndroidOS.Faketoken. Einige Modifikationen dieses Trojaners können mehr als 2.000 Finanz-Apps angreifen.

Nach Popularität an dritter Stelle steht die Familie mobiler Bank-Trojaner mit dem Namen Trojan-Banker.AndroidOS.Asacub. Mehr als 16 Prozent der von mobilen Bank-Trojanern angegriffenen Nutzer hatten es mit dieser Familie zu tun. Diese Trojaner werden hauptsächlich in Russland verbreitet, zumeist mit Hilfe von SMS-Spam.

Mobile Schädlinge des Typs Trojan-Ransom

Im Jahr 2016 hatten die mobilen Erpresser-Schädlinge einen beeindruckenden Zuwachs zu verzeichnen, sowohl bei den entdeckten Installationspaketen als auch bei der Zahl der angegriffenen Anwender. Insgesamt wurden 261.214 Schädlinge dieser Art erstmals im Jahr 2016 entdeckt, das sind praktisch 8,5 Mal mehr als im Jahr 2015.

Virologie mobiler Geräte 2016

TAnzahl der von Kaspersky Lab entdeckten Installationspakete mobiler Erpresser-Trojaner (erstes Quartal 2016 bis viertes Quartal 2016)

Im Jahr 2016 wurden insgesamt 153.258 Personen aus 167 Ländern von diesem Malware-Typ angegriffen, das sind 1,6 Mal mehr als im Jahr 2015.

Interessant ist, dass ein großer Teil der Installationspakete in den ersten beiden Quartalen 2016 im Zusammenhang mit der Familie Trojan-Ransom.AndroidOS.Fusob stand, die Aktivität dieses Trojaners im dritten Quartal aber abnahm. Der allgemeine Anstieg im vierten Quartal ist auf die Aktivität der Familie Trojan-Ransom.AndroidOS.Congur zurückzuführen – zu ihr gehören recht einfache Trojaner, die das Gerät entweder mit einem eigenen Fenster blockieren oder das Passwort des Gerätes ändern.

Virologie mobiler Geräte 2016

TGeografie mobiler Erpresser-Programme (Anzahl der angegriffenen Anwender im Jahr 2016)

Top 10 der Länder nach Anteil der von Malware des Typs Trojan-Ransom angegriffenen Anwender an allen Anwendern

Land* Prozentualer Anteil
der angegriffenen Anwender**
1 Deutschland 2,54
2 USA 2,42
3 Kanada 2,34
4 Schweiz 1,88
5 Kasachstan 1,81
6 Großbritannien 1,75
7 Italien 1,63
8 Dänemark 1,29
9 Mexiko 1,18
10 Australien 1,13

* Aus dem Rating sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Anti-Virus im Berichtszeitraum unter 25.000 lag.

** Anteil der individuellen Anwender, die im Land von mobilen Erpresser-Trojanern angegriffen wurden, an allen Nutzern von Kaspersky Anti-Virus im Land.

Die meisten mobilen Nutzer, die Angriffen von Erpresser-Software ausgesetzt waren, registrierten wir im Jahr 2016 in Deutschland, und zwar über 2,5 Prozent. In praktisch allen Ländern aus diesem Rating erfreuten sich Vertreter der Familien Trojan-Ransom.AndroidOS.Fusob und Trojan-Ransom.AndroidOS.Svpeng der größten „Beliebtheit“. Nur in Kasachstan, das sich auf Platz fünf befindet, wurden die von Ransomware angegriffenen Nutzer am häufigsten mit verschiedenen Modifikationen der Familie Trojan-Ransom.AndroidOS.Small konfrontiert.

Mehr über diese Familien mobiler Erpresser-Trojaner lesen Sie in einem gesonderten Bericht.

Fazit

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen. Cyberverbrecher machen sich den Umstand zunutze, dass auf den meisten Geräten das Betriebssystem gar nicht (oder erst spät) aktualisiert wird. Das führt dazu, dass die meisten Geräte von alten, bereits seit Langem bekannten und frei verfügbaren Exploits angegriffen werden können.

In diesem Jahr werden wir die Entwicklung mobiler Bank-Trojaner weiterhin genau im Auge behalten: Die Entwickler dieser Malware-Klasse verwenden als erste neue Technologien und suchen eifrig nach Methoden zur Umgehung der Schutzmethoden, die in die neuen Versionen mobiler Betriebssysteme integriert wurden.

Eins der Top-Themen des Jahres 2016 war die Sicherheit von IoT-Geräten. „Intelligente“ und internetfähige Geräte unterschiedlichster Art werden immer beliebter, doch ihre Sicherheit ist auf einem recht niedrigen Niveau. Bereits im Jahr 2016 entdeckten wir bei Kaspersky Lab einen Trojaner, der Heimrouter angreift. Wir sehen, dass es den Cybergangstern auf dem Telefon langsam zu eng wird, und sie beginnen nun, mit der Umgebung zu interagieren. Möglicherweise werden wir im Jahr 2017 vollwertige Attacken auf die Vertreter des Internets der Dinge beobachten können, die von mobilen Geräten ausgehen.

Related Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.