Entwicklung der IT-Bedrohungen im zweiten Quartal 2015

Inhalt

Überblick

Das Quartal in Zahlen

  • Laut den Daten des Kaspersky Security Network (KSN) wehrten die Produkte von Kaspersky Lab 379.972.834 Attacken von Internet-Ressourcen in verschiedenen Ländern der Welt ab.
  • Kaspersky Anti-Virus spürte 26.084.253 individuelle Schadobjekte auf (wie Skripte, Exploits, ausführbare Dateien und andere).
  • Kaspersky Anti-Virus schlug bei 65.034.577 individuellen URLs Alarm.
  • 51 Prozent aller Webattacken, die unsere Produkte blockierten, wurden unter Verwendung von schädlichen Webressourcen durchgeführt, die sich in Russland befinden.
  • Die Kaspersky-Lab-Produkte verschickten 5.903.377 Benachrichtigungen über Infektionsversuche durch Malware, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert ist.
  • Die Antiviren-Lösungen von Kaspersky Lab registrierten 110.731.713 individuelle schädliche beziehungsweise potenziell unerwünschte Objekte.
  • Die Kaspersky-Lab-Produkte zum Schutz mobiler Geräte entdecken im dritten Quartal
    • 1.048.129 Installationspakete
    • 291.887 neue mobile Schadprogramme
    • 630 mobile Banktrojaner

Zielgerichtete Attacken und Malware-Kampagnen

Monkey Business – faule Tricks

Kürzlich veröffentlichten wir eine Analyse von CozyDuke, einer weiteren Cyberspionage-APT aus der „Duke“-Familie unter Beteiligung von MiniDuke, CosmicDuke und OnionDuke. CozyDuke (auch bekannt als „CozyBear“, „CozyCar“ und „Office Monkeys“) greift Regierungsorganisationen und Unternehmen in den USA, Deutschland, Südkorea und Usbekistan an.

Bei dem Angriff kommen eine Reihe von raffinierten Techniken zum Einsatz, unter anderem Verschlüsselung, Anti-Erkennungsmaßnahmen und eine gut entwickelte Auswahl von Komponenten, die hinsichtlich ihrer Struktur früheren Bedrohungen innerhalb der „Duke“-Familie ähneln.

Eines der bemerkenswertesten Merkmale von CozyDuke ist allerdings der Einsatz von Social-Engineering-Tricks, um zunächst einen Fuß in die Tür der attackierten Organisation zu bekommen. Einige der Spear-Phishing-Mails der Angreifer enthalten einen Link auf gehackte Webseiten, darunter auch bekannte, legitime Seiten, die ein ZIP-Archiv beherbergen. Dieses Archiv enthält wiederum eine RAR-SFX-Datei, die die Schadsoftware installiert, wobei ein leeres PDF als Köder angezeigt wird. Eine andere Methode besteht im Verschicken von gefälschten Flash-Videos als E-Mail-Anhang. Ein bemerkenswertes Beispiel (dem die Malware auch einen ihrer Namen verdankt) ist „OfficeMonkeys LOL Video.zip“. Bei Ausführung lädt dieses Archiv eine ausführbare CozyDuke-Datei auf dem Computer ab, während es ein „witziges“ Ködervideo abspielt, in dem Affen in einem Büro arbeiten. Die Opfer werden dadurch ermuntert, das Video innerhalb ihres Büros zu verbreiteten, womit sie die Zahl der kompromittierten Computer in die Höhe treiben.

Der erfolgreiche Einsatz von Social-Engineering-Tricks – durch CozyDuke und andere APT – , die Angestellte dazu bringen, etwas zu tun, was die Unternehmenssicherheit gefährdet, unterstreicht einmal mehr, wie wichtig es ist, die Mitarbeiteraufklärung zu einer Kernkomponente jeder Sicherheitsstrategie eines Unternehmen zu machen.

Naikon: Abgreifen von politischen Informationen

Im Mai veröffentlichte Kaspersky Lab seinen Bericht über die Naikon-APT. Naikon kommt in Kampagnen gegen sensible Ziele in Südostasien und in der Region um das Südchinesische Meer zum Einsatz. Die Angreifer scheinen chinesische Muttersprachler und seit mindestens fünf Jahren aktiv zu sein. Sie fokussieren sich auf Regierungsbehörden der höchsten Ebene sowie auf zivile und militärische Organisationen, unter anderem auf den Philippinen, in Malaysia, Kambodscha, Indonesien, Vietnam, Myanmar, Singapur, Nepal, Thailand, Laos und China.

Wie bei vielen Attacken dieser Art setzen die Angreifer Spear-Phishing-Mails ein, um arglose Mitarbeiter dazu zu bringen, die Schadsoftware auf ihre Rechner zu laden. An die E-Mails ist eine Datei angehängt, die Informationen enthält, die für den Empfänger voraussichtlich von Interesse sind. Bei der Datei scheint es sich um ein normales Word-Dokument zu handeln. Doch tatsächlich ist es entweder eine ausführbare Datei mit doppelter Erweiterung, oder eine ausführbare Datei, die den RTLO-Mechanismus (right to left override) verwendet, um die tatsächliche Erweiterung der Datei zu verschleiern. Klickt der Anwender auf die Datei, so installiert sie Spionage-Software auf seinem Computer. Währenddessen zeigt sie eine Dokument-Attrappe an, um kein Misstrauen zu erwecken.

Das Hauptmodul von Naikon ist ein Remote-Administration-Tool (RAT), also eine Fernwartungssoftware. Dieses Modul unterstützt 48 Befehle, um die Kontrolle über die infizierten Computer übernehmen zu können. Dazu gehören die Befehle, eine vollständige Inventur vorzunehmen, Daten herunter- und hochzuladen und Add-on-Module zu installieren. Obendrein setzt Naikon manchmal Keylogger ein, um an die Anmeldedaten der Mitarbeiter zu kommen.

Jedem Zielland ist ein eigener Betreiber zugewiesen, der in der Lage ist, sich lokale kulturelle Gepflogenheiten zunutze zu machen – beispielsweise die „Sitte“, private E-Mail-Accounts für die Arbeit zu benutzen. Die Angreifer benutzten zudem einen speziellen Proxyserver innerhalb der Landesgrenzen, um die Verbindungen mit den infizierten Computern zu verwalten und die Daten an die Command-and-Control-(C2)-Server der Angreifer zu übermitteln.

Unseren Hauptbericht zur Naikon-APT sowie einen Folgeartikel dazu finden Sie auf unserer Website.

Die Spione ausspionieren

Im Laufe unserer Untersuchungen zu Naikon deckten wir die Aktivität der APT-Gruppe Hellsing auf. Diese Gruppe konzentrierte sich in erster Linie auf Regierungsorganisationen und diplomatische Einrichtungen in Asien. Die meisten Opfer befinden sich in Malaysia und auf den Philippinen, obwohl wir auch Ziele in Indien, Indonesien und den USA identifizieren konnten.

Für sich gesehen ist Hellsing eine kleine und technisch eher unspektakuläre Cyberspionage-Gruppe (etwa 20 Organisationen wurden von Hellsing angegriffen). Interessant an dieser Gruppe ist allerdings, dass sie selbst im Visier einer Spear-Phishing-Attacke der APT-Gruppe Naikon stand – und beschloss, zurückzuschlagen! Die Antwort von Hellsing stellte die Authentizität des Absenders in Frage. Daraufhin erhielt die Hellsing-Gruppe eine Antwort von den Angreifern, doch sie öffneten den mitgeschickten Anhang nicht. Stattdessen sendeten sie kurz darauf den Angreifern eine E-Mail, die ihre eigene Malware enthielt. Es liegt auf der Hand, dass die Hellsing-Gruppe – nachdem sie entdeckt hatte, dass sie angegriffen wird – versuchte, die Angreifer zu identifizieren und Informationen über ihre Aktivitäten zu sammeln.

In der Vergangenheit konnten wir schon häufiger beobachten, wie sich APT-Gruppen versehentlich gegenseitig auf die Füße traten, beispielsweise, indem sie Adressbücher stahlen und dann jedem Adressaten auf den Listen massenhaft E-Mails schickten. Doch eine Attacke ATP vs. APT ist ungewöhnlich.

Grabit and run

Viele zielgerichtete Schadkampagnen richten sich gegen große Unternehmen, Regierungsbehörden oder andere Organisationen auf höchster Ebene. Daher könnte man beim Lesen der Überschriften leicht auf den Gedanken kommen, dass solche Organisationen die einzigen sind, die im Visier der Angreifer stehen. Doch eine der Kampagnen, über die wir letztes Quartal berichteten, hat eindeutig gezeigt, dass es nicht nur die „dicken Fische“ sind, an denen die Cyberkriminellen interessiert sind. Jedes Unternehmen ist ein potenzielles Ziel – aufgrund der eigenen Werte, die es zu stehlen gilt, oder als Einfallstor in eine andere Organisation.

Die Cyberspionage-Kampagne Grabit ist darauf angelegt, Daten aus kleinen und mittelgroßen Organisationen zu stehlen. In erster Linie geschieht das in Thailand, Vietnam und Indien, obwohl wir auch schon Ziele in den USA, den Vereinigten Arabischen Emiraten, der Türkei, Russland, China, Deutschland und anderswo identifiziert haben. Zu den angegriffenen Branchen und Bereichen zählen die chemische Industrie, Nanotechnologie, der Bildungssektor, Landwirtschaft, die Medien und das Bauwesen. Das Kaspersky-Team schätzt, dass es der Gruppe hinter den Attacken gelungen ist, rund 10.000 Dateien zu stehlen.

Die Malware wird in Form eines Word-Anhangs in einer E-Mail auf die Rechner transportiert. Das Word-Dokument enthält ein schädliches Makro mit der Bezeichnung „AutoOpen“. Dieses Makro öffnet einen Socket über TCP und schickt eine http-Anfrage an einen entfernten Server, der von der Gruppe gehackt wurde, um als Malwareknoten zu dienen. Daraufhin wird das Programm, das für die Spionagetätigkeit genutzt wird, von diesem Server heruntergeladen. In einigen Fällen ist das Makro passwortgeschützt. Die Angreifer haben anscheinend vergessen, dass eine DOC-Datei tatsächlich ein Archiv ist, und dass Makro-Strings, wenn die Datei in einem Editor geöffnet wird, in Klartext dargestellt werden. Die Angreifer kontrollieren die kompromittierten Computer mit Hilfe eines kommerziellen Spionage-Tools namens HawkEye (von HawkEyeProducts). Zusätzlich verwenden sie eine Reihe von Remote-Administration-Tools (RATs).

Die Angreifer wenden einige Techniken an, um die Analyse von Grabit zu erschweren, unter anderem variable Codegrößen, Code-Obfuskation und Verschlüsselung. Andererseits schaffen sie es nicht, ihre Spuren im System zu verwischen. Das Ergebnis ist ein „schwacher Ritter in schwerer Rüstung“, was vermuten lässt, dass die Angreifer nicht den gesamten Code selbst geschrieben haben.

Die Rückkehr von Duqu

Im Frühjahr 2015 entdeckte Kaspersky Lab während eines umfassenden Sicherheitschecks eine Cyberattacke, von der mehrere interne Systeme betroffen waren. Bei der darauf folgenden intensiven Untersuchung wurde mit Duqu eine neue Malware-Plattform aufgedeckt, die von einer der fähigsten, geheimnisvollsten und mächtigsten Gruppen in der APT-Welt entwickelt wurde – Duqu wird manchmal auch als der Stiefbruder von Stuxnet bezeichnet. Wir haben diese neue Plattform „Duqu 2.0“ genannt.

Bei der Attacke auf Kaspersky Lab machten sich die Cyberkriminellen eine Zero-Day-Sicherheitslücke im Windows-Kernel zunutze (am 9. Juni 2015 von Microsoft gepatcht), und möglicherweise noch bis zu zwei weitere (jetzt gepatcht), die zu der Zeit ebenfalls Zero-Day-Sicherheitslücken waren. Die Angreifer hatten in erster Linie das Ziel, die Technologien, die laufenden Ermittlungen und die internen Prozesse von Kaspersky Lab auszuspionieren.

Doch Kaspersky Lab war nicht das einzige Ziel. Einige Duqu-2.0-Infektionen standen mit den P5+1-Verhandlungen mit dem Iran über dessen Atomprogramm in Verbindung. Die Angreifer scheinen an einigen der Verhandlungsorte Angriffe auf höchster Ebene durchgeführt zu haben. Außerdem hat die Gruppe eine ähnliche Attacke durchgeführt, die mit dem 70. Jahrestag der Befreiung von Auschwitz-Birkenau in Zusammenhang steht.

Eines der hervorstechendsten Merkmale von Duqu 2.0 ist die kurze Lebensdauer und das Fehlen jeglicher Spuren im System. Die Malware nahm keine Veränderungen an der Festplatte oder den Systemeinstellungen vor: Die Malware-Plattform war so gestaltet worden, dass die Schadsoftware fast ausschließlich im Speicher infizierter Geräte überlebt. Das könnte darauf hinweisen, dass sich die Angreifer sicher waren, auch dann im System präsent zu bleiben, wenn ein individueller infizierter Computer neu gebootet und die Malware aus dem Speicher entfernt wurde.

Die technische Dokumentation zu Duqu 2.0 und die Analyse des Persistenz-Moduls finden Sie auf unserer Webseite.

Malware-Stories

Simdas schädliches Versteckspiel

Im April war Kaspersky Lab an der Abschaltung des Simda-Botnets beteiligt, die vom Interpol Global Complex for Innovation koordiniert wurde. Die Ermittlungen wurden von Microsoft initiiert und dann auf andere Mitwirkende ausgeweitet, unter anderem Trend Micro, das Cyber Defense Institute, die National High Tech Crime Unit (NHTCU) der niederländischen Polizei, das FBI, die Police Grand-Ducale Section Nouvelles Technologies in Luxemburg und das Cybercrime Department „K” des russischen Innenministeriums, das vom National Central Bureau von INTERPOL in Moskau unterstützt wird.

Infolge dieser Operation wurden 14 Server in den Niederlanden, den USA, in Luxemburg, Polen und Russland abgeschaltet. Eine erste Analyse einiger der auf einen Sinkhole-Server umgeleiteten Server-Logs ergab, dass 190 Länder von der Aktivität des Botnetzes betroffen waren.

Die Bots werden über eine Reihe infizierter Webseiten verbreitet, die die Besucher auf Exploit-Kits umleiten. Die Bots laden zusätzliche Komponenten von ihren eigenen Update-Servern herunter und führen sie aus. Sie sind zudem in der Lage, die Host-Datei auf dem infizierten Computer zu modifizieren: Auf diese Weise können einmal infizierte Computer immer weiter http-Anfragen an die schädlichen Server absenden und damit anzeigen, dass sie noch immer gegenüber einer Neuinfektion mit Hilfe desselben Exploit-Kits angreifbar sind.

Auch wenn das Simda-Botnetz mit geschätzten 770.000 infizierten Computern relativ groß ist, haben sich die Autoren sehr bemüht, es so zu gestalten, dass es „unter dem Radar“ der Anti-Malware-Systeme dahinsegelt. Die Malware kann Emulation sowie Sicherheitstools und virtuelle Maschinen erkennen. Außerdem verwendet sie eine Reihe von Methoden zur Erkennung von Sandbox-Umgebungen in der Absicht, die Forscher auszutricksen, indem sie die gesamten CPU-Ressourcen verbraucht oder die Botnetz-Betreiber über die externe IP-Adresse des Forschungsnetzwerks benachrichtigt. Des Weiteren wendet die Schadsoftware serverseitigen Polymorphismus an.

Simda deaktiviert sich nach einer kurzen Zeit selbst. Das hängt eng mit dem Zweck dieses Zombie-Netzes zusammen: Es handelt sich hierbei um einen Liefermechanismus, der darauf ausgelegt ist, potenziell unerwünschte und schädliche Software zu verteilen. Die Verteiler wollten garantieren, dass nur die Malware ihrer Kunden auf infizierten Computern installiert wird.

Die Produkte von Kaspersky Lab entdecken aktuell hunderttausende von Simda-Modifikationen, zusammen mit vielen unterschiedlichen Dritt-Schadprogrammen, die mit Hilfe des Simda-Botnetzes in Umlauf gebracht werden. Um zu überprüfen, ob sich Ihre IP in der Vergangenheit mit einem Simda-C2-Server verbunden hat, können Sie unseren kostenlosen Simda-Bot IP-Scanner verwenden.

Phishing, aber nicht wie wir es kennen

Im Frühjahr 2014 wurde von Wang Jing, einem Doktoranden an der Nanyang Technological University in Singapur, eine ernsthafte Sicherheitslücke in den Protokollen OAuth und OpenID entdeckt. Er hatte etwas gefunden, das er eine „Covert Redirect“-Sicherheitslücke nannte, die es einem Angreifer ermöglicht, Daten nach der Authentifizierung zu stehlen (eine Zusammenfassung des Problems sowie einen Link auf Jings Blog finden Sie auf Threatpost).

Kürzlich entdeckten wir eine Phishing-Kampagne, die sich diese OAuth-Schwachstelle zunutze macht. OAuth ermöglicht es Kunden von Online-Dienstleistern, Dritten eingeschränkten Zugriff auf ihre geschützten Ressourcen zu gewährleisten, ohne dass sie dafür ihre Anmeldedaten weitergeben müssen. Normalerweise nutzen Apps das OAuth-Protokoll für Soziale Netzwerke, beispielsweise um Zugriff auf eine Kontaktliste oder andere Daten zu erhalten.

Die Kunden von Kaspersky Lab, die diese Attacke meldeten, erhielten eine E-Mail, in der es hieß, jemand habe ihre Windows-Live-ID verwendet. Und sie wurden gebeten, einem Link auf die Windows-Live-Webseite zu folgen und den dort beschriebenen Sicherheitsanforderungen zu entsprechen.

Auf den ersten Blick meint man, es handele sich hier um eine standardmäßige Phishing-Technik – eine, die darauf hinausläuft, dass die Zielperson auf eine gefälschte Webseite umgeleitet wird. Aber in diesem Fall führte der Link auf eine legitime Webseite. Die Anmeldedaten des Empfängers werden nicht gestohlen und er loggt sich dort ganz normal ein. Doch nach der Autorisierung erhält die betroffene Person eine Anfrage von einer unbekannten Anwendung, die um eine Reihe von Berechtigungen bittet. Dazu kann das automatische Login zählen oder der Zugriff auf Profilinformationen, Kontaktlisten und E-Mail-Adressen. Gewährt ein Anwender diese Rechte, so bietet er Cyberkriminellen Zugriff auf seine persönlichen Informationen – Informationen, die diese für Spam oder Phishing-Links verwenden oder für andere betrügerische Zwecken benutzen können.

Wir empfehlen zum Schutz Ihrer persönlichen Daten die Einhaltung der folgenden Regeln:

  • Klicken Sie nicht auf Links, die Sie in einer E-Mail oder in einer Nachricht in Sozialen Netzwerken erhalten haben.
  • Gestatten Sie es keiner nicht vertrauenswürdigen Anwendung, auf Ihre Daten zuzugreifen.
  • Lesen Sie, bevor Sie solchen Anfragen zustimmen, sorgfältig die Beschreibung der Zugriffsrechte, die von einer App angefragt werden.
  • Lesen Sie im Internet Rezensionen und Beurteilungen über die entsprechende App.
  • Überprüfen Sie die Rechte der aktuell installierten Apps und verändern Sie wenn nötig die Einstellungen.

Smarte Cities und weniger smarte Sicherheit

Der Einsatz von Überwachungskamerasystemen durch Regierungen und Strafverfolgungsbehörden zur Beobachtung öffentlicher Plätze hat in den letzten Jahren deutlich zugenommen. Die meisten Leute akzeptieren das als einen notwendigen Kompromiss zwischen dem Bedürfnis nach Privatsphäre und dem nach Sicherheit. Doch das setzt voraus, dass mit den von dieser Technologie gesammelten Daten verantwortungsvoll umgegangen wird, damit sichergestellt ist, dass die Vorteile dieser Praxis nicht von irgendwelchen Gefahren zunichte gemacht werden.

Viele Überwachungskameras verfügen über eine drahtlose Internetverbindung, die es der Polizei ermöglicht, sie entfernt zu kontrollieren. Doch das ist nicht zwangsweise sicher: Cyberkriminelle haben die Möglichkeit, die Aufnahmen der Sicherheitskameras passiv zu beobachten, Code in das Netzwerk einzuschleusen – und dabei einen Kamerafeed durch gefälschtes Bildmaterial zu ersetzen – oder das System auszuschalten. Zwei Sicherheitsexperten (Vasilios Hioureas von Kaspersky Lab und Thomas Kinsey von Exigent Systems) untersuchten die Videoüberwachungssysteme einer Stadt vor kurzem auf potenzielle Sicherheitsschwachstellen. Vasilios Bericht finden Sie auf unserer Webseite).

Die Forscher begannen damit, sich das Überwachungsequipment an Standorten in der ganzen Stadt genauer anzuschauen. Leider wurde seitens der Betreiber nicht versucht, die Markenbezeichnungen der Kameras zu verdecken, so dass die Machart und Modelle der Geräte problemlos identifiziert und die technischen Daten studiert werden konnten, um sich dann ein eigenes maßstabsgetreues Modell nachzubauen. Das verwendete Equipment gewährleistete wirkungsvolle Sicherheitskontrollen, aber diese Kontrollen wurden nicht sicher umgesetzt. Datenpakete, die durch die vermaschten Netze flossen, wurden nicht verschlüsselt, so dass ein Angreifer in der Lage gewesen wäre, seine eigene Version der Software zu erstellen und die durchlaufenden Daten zu manipulieren.

Man muss wissen, dass die Forscher nicht versuchten, sich in das Netzwerk einzuhacken, sondern die Hardware und die Kommunikationsprotokolle analysierten und ein Modell nachbauten. Die Netzwerktopologie einer Überwachungskamera ist anders als die eines normalen drahtlosen Heimnetzwerks. In einem Heimnetzwerk sind alle Geräte mit dem Internet verbunden sowie ein weiteres über einen Router. Jedes Gerät, das mit einem Router verbunden ist, könnte die anderen Geräte theoretisch dazu bringen, zu denken, dass es der Router ist und Daten mittels einer Man-in-the-Middle-Attacke überwachen oder ändern.

Ein Überwachungskamera-Netzwerk ist aufgrund der Entfernung, die die Daten zurücklegen müssen, komplizierter. Die Daten müssen von jeder beliebigen Kamera durch eine Reihe von Knoten wandern, die schließlich zurück zum Zentrum führen (in der realen Welt könnte das eine Polizeiwache sein). Der Traffic folgt dem Weg des geringsten Widerstands, wobei jeder Knoten in der Lage ist, mit anderen zu kommunizieren, um den einfachsten Weg zurück zum Zentrum auszuwählen.

Hioureas und Kinsey haben eine Reihe von gefälschten Knoten aufgebaut, die den Anschein erweckten, eine direkte Kommunikationslinie zu einer fingierten Polizeiwache zu bieten. Da sie alle in dem Netzwerk verwendeten Protokolle kannten, konnten sie einen Man-in-the-Middle-Knoten aufbauen, der anscheinend den Weg des geringsten Widerstands bot, um ihren Traffic durch ihren schädlichen Knoten zu übertragen.

Eine mögliche Ausnutzungsart für Angreifer könnte darin bestehen, das zu einer Polizeiwache zu sendende Bildmaterial zu fälschen. So könnte man einen Vorfall an einem Standort vortäuschen und die Polizeikräfte auf diese Weise von einem tatsächlichen Tatort irgendwo anders in der Stadt ablenken.

Die Forscher informierten die für die Videoüberwachung zuständigen Stellen über dieses Problem, die bereits damit beschäftigt sind, das Sicherheitsproblem zu lösen. Ganz allgemein ist es überaus wichtig, dass von einem starken Passwort geschützte WPA-Verschlüsselung in diese Netzwerke implementiert ist. Ebenso wichtig ist, dass Markennamen von der Hardware entfernt werden, um es Angreifern zu erschweren herauszufinden, wie das Equipment funktioniert, und dass das Bildmaterial verschlüsselt durch das Netzwerk geschickt wird.

Immer mehr Aspekte unseres täglichen Lebens werden digitalisiert. Wenn Sicherheit nicht als ein Teil des Entwicklungsprozesses angesehen wird, könnten die möglichen Gefahren weitreichend sein – und veraltete Sicherheitskonzepte könnten sich als nicht wirklich effektiv erweisen. Die von Kaspersky Lab unterstützte Initiative Securing Smart Cities soll denjenigen, die für die Entwicklung smarter Städte verantwortlich sind, helfen, die Cybersicherheit dabei nicht aus den Augen zu verlieren.

Statistik

Die unten stehenden Statistiken beruhen auf den Daten, die von verschiedenen Komponenten der Produkte von Kaspersky Lab gesammelt wurden. Alle im Bericht verwendeten statistischen Daten wurden mit Hilfe des verteilten Antiviren-Netzwerks Kaspersky Security Network (KSN) zusammengetragen und ausgewertet. Die Daten stammen von den KSN-Anwendern, die ihre Zustimmung zur Übertragung der Informationen gegeben haben. An dem globalen Informationsaustausch über die Virenaktivität nehmen Millionen von Anwendern von Kaspersky-Produkten aus 213 Ländern der Welt teil.

Mobile Bedrohungen

Zu den wichtigsten mobilen Bedrohungen zählen nach wie vor die mobilen Bank-Schädlinge. In unserem Bericht für das erste Quartal 2015 haben wir auf den Trojaner Trojan-SMS.AndroidOS.OpFake.cc hingewiesen, der in der Lage war, mindestens 29 Bank- und Finanz-Apps anzugreifen. Die jüngste Version dieses Trojaners kann bereits 114 solcher Anwendungen angreifen. Sein Hauptziel besteht im Diebstahl von Anmeldedaten und Passwörtern von Bankkonten. Zu diesem Zweck greift er auch mehrere populäre E-Mail-Anwendungen an.

Erwähnenswert ist auch Trojan-Spy.AndroidOS.SmsThief.fc. Cyberkriminelle haben der originalen Bank-App ihren Code hinzugefügt, ohne deren Funktionsfähigkeit zu beeinträchtigen. Daher war dieser Trojaner schwerer zu entdecken.

Im zweiten Quartal erschien ein neuer Trojaner unter iOS – Trojan.IphoneOS.FakeTimer.a. Er ist deswegen interessant, weil es auch eine Android-Version von ihm gibt, die schon vor einigen Jahren erschienen ist. FakeTimer.a. greift sogar Geräte an, auf denen kein Jailbreak durchgeführt wurde. Seine Funktionalität ist reichlich primitiv: Es handelt sich um eine gewöhnliche Phishing-Anwendung, die darauf ausgelegt ist, japanischen Anwendern Geld zu stehlen.

In diesem Quartal waren solche Trojaner besonders auffällig, die Rootrechte benutzen können, um den Anwendern Werbung anzuzeigen oder Adware zu installieren. Im zweiten Quartal 2015 waren sechs derartige Schädlinge in den Top 20 der mobilen Schadprogramme vertreten.

Anzahl neuer mobiler Bedrohungen

Im zweiten Quartal 2015 entdeckten die Produkte von Kaspersky Lab zum Schutz mobiler Geräte 291.887 neue mobile Schadprogramme, das sind 2,8-mal mehr als im ersten Quartal 2015.

Dabei betrug die Zahl der entdeckten schädlichen Installationspakete 1 048 129, das sind 7-mal mehr als im vorangegangenen Quartal.

Anzahl der entdeckten schädlichen Installationspakete und neuen mobilen Schadprogramme
(viertes Quartal 2014 – zweites Quartal 2015)

Verteilung der mobilen Schädlinge nach Typen

Verteilung neuer mobiler Schädlinge nach Typen, zweites Quartal 2015

Das Rating der im zweiten Quartal 2015 entdeckten schädlichen Objekte für mobile Geräte führen potenziell gefährliche Anwendungen des Typs RiskTool (44,6 %) an. Es handelt sich dabei um legale Apps, die für die Nutzer möglicherweise gefährlich sind: Werden sie vom Smartphone-Besitzer oder von einem Verbrecher nicht ordnungsgemäß eingesetzt, so kann das zu finanziellen Verlusten für den Nutzer führen.

Auf dem zweiten Platz befinden sich potenziell unerwünschte Werbeanwendungen – Adware (19 %).

SMS-Trojaner, die dieses Rating lange Zeit anführten, belegten im zweiten Quartal lediglich den vierten Platz. Mit einem Wert von 8,1 Prozent bringen sie es auf 12,9 Prozentpunkte weniger als im ersten Quartal. Der Rückgang des Anteils von Schädlingen dieser Art hängt zum Teil damit zusammen, dass diejenigen, die früher aktiv SMS-Trojaner verbreiteten, entweder sauberere Schemata verwenden, um an Bargeld zu kommen (was sich an der Zunahme des Anteil von RiskTool zeigt), oder dass sie nun andere Schädlingstypen einsetzen. Der Anteil von Trojanern stieg beispielsweise von 9,8 Prozent im ersten Quartal auf 12,4 Prozent im zweiten.

Top 20 der mobilen Schadprogramme

Beginnend mit diesem Quartal veröffentlicht Kaspersky Lab ein Rating der schädlichen Programme, in dem potenziell gefährliche oder nicht erwünschte Programme wie RiskTool und Adware nicht berücksichtigt werden.

  Name Prozentualer Anteil der Attacken*
1 DangerousObject.Multi.Generic 17,5%
2 Trojan-SMS.AndroidOS.Podec.a 9,7%
3 Trojan-SMS.AndroidOS.Opfake.a 8,0%
4 Backdoor.AndroidOS.Obad.f 7,3%
5 Trojan-Downloader.AndroidOS.Leech.a 7,2%
6 Exploit.AndroidOS.Lotoor.be 5,7%
7 Trojan-Spy.AndroidOS.Agent.el 5,5%
8 Trojan.AndroidOS.Ztorg.a 3,1%
9 Trojan.AndroidOS.Rootnik.a 3,0%
10 Trojan-Dropper.AndroidOS.Gorpo.a 2,9%
11 Trojan.AndroidOS.Fadeb.a 2,7%
12 Trojan-SMS.AndroidOS.Gudex.e 2,5%
13 Trojan-SMS.AndroidOS.Stealer.a 2,5%
14 Exploit.AndroidOS.Lotoor.a 2,1%
15 Trojan-SMS.AndroidOS.Opfake.bo 1,6%
16 Trojan.AndroidOS.Ztorg.b 1,6%
17 Trojan.AndroidOS.Mobtes.b 1,6%
18 Trojan-SMS.AndroidOS.FakeInst.fz 1,6%
19 Trojan.AndroidOS.Ztorg.pac 1,5%
20 Trojan-SMS.AndroidOS.FakeInst.hb 1,4%

* Prozentualer Anteil der vom jeweiligen Schädling angegriffenen Anwender an allen angegriffenen Anwendern.

Auf dem ersten Platz befindet sich DangerousObject.Multi.Generic (17,5 %). In diese Kategorie fallen neue Schadanwendungen, die von den Cloud-Technologien des Kaspersky Security Network erkannt werden. Das ermöglicht es unseren Produkten, schnell auf neue und unbekannte Bedrohungen zu reagieren.

Trojan-SMS.AndroidOS.Podec.a (9,7 %) belegt schon das dritte Quartal in Folge einen Platz in den Top 3 der mobilen Bedrohungen, was dadurch zu erklären ist, dass er aktiv verbreitet wird.

Trojan-SMS.AndroidOS.Opfake.a (8,0 %) klettert schnell immer höher im Rating. Während er im dritten Quartal 2014 noch den elften Platz belegte, ist er nun bereits unter den ersten drei im Rating der mobilen Bedrohungen. Auf Position 15 befindet sich mit Obfake.bo ein weiterer Vertreter dieser Familie.

Neu in den Top 20 ist Backdoor.AndroidOS.Obad, und zwar gleich auf dem vierten Platz der Hitliste. Es handelt sich dabei um einen multifunktionalen Trojaner mit den folgenden Fähigkeiten: Versand von SMS an Premiumnummern, laden und installieren anderer Schadprogramme auf ein infiziertes Gerät und/oder deren Versand via Bluetooth sowie die Ausführung entfernter Befehle in der Konsole. Wir haben bereits vor zwei Jahren von ihm berichtet, und seither hat sich seine Funktionalität praktisch nicht geändert.

Interessant ist an dieser Stelle auch, dass – obwohl wir in diesem Rating keine Adware berücksichtigen – sechs von 20 Programmen aus der Liste Werbung als wichtigstes Mittel einsetzen, um Geld zu machen. Trojan.AndroidOS.Rootnik.a, drei Programme der Familie Trojan.AndroidOS.Ztorg, Trojan-Downloader.AndroidOS.Leech.a und Trojan.AndroidOS.Fadeb.a enthalten im Gegensatz zu gewöhnlichen Werbemodulen keinerlei nützliche Funktionalität. Ihr Ziel besteht darin, so viel Werbung wie möglich an den Anwender zu bringen, auf unterschiedlichste Art und Weise, unter anderem auch mittels Installation neuer Werbe-Programme. Diese Trojaner können Root-Rechte nutzten, um sich im Systemverzeichnis zu verbergen, aus dem sie nur äußerst schwer wieder zu löschen sind.

Mobile Bank-Trojaner

Innerhalb des Berichtszeitraums entdeckte das Kaspersky-Team 630 mobile Bank-Trojaner. Das Tempo, mit dem neue Programme dieser Kategorie auftauchen, hat im Übrigen deutlich abgenommen.

Anzahl der entdeckten mobilen Bank-Trojaner
(drittes Quartal 2014 – zweites Quartal 2015)

Geografie der mobilen Bank-Bedrohungen im zweiten Quartal 2015
(Anzahl der angegriffenen Anwender)

Die Zahl der angegriffenen Anwender hängt von der Gesamtzahl der Anwender im Land ab. Um das Risiko einer Infektion mit mobilen Bank-Trojanern in verschiedenen Ländern der Welt einschätzen und vergleichen zu können, hat das Team von Kaspersky Lab das Länderrating nach dem prozentualen Anteil der von mobilen Bank-Trojanern angegriffenen Anwender erstellt.

Top 10 der Länder nach dem prozentualen Anteil der von mobilen Bank-Trojanern angegriffenen Anwender

  Land* Prozentualer Anteil der von Bank-Schädlingen angegriffenen Anwender**
1 Südkorea 2,37%
2 Russland 0,87%
3 Usbekistan 0,36%
4 Weißrussland 0,30%
5 Ukraine 0,29%
6 China 0,25%
7 Kasachstan 0,17%
8 Australien 0,14%
9 Schweden 0,13%
10 Österreich 0,12%

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
** Prozentualer Anteil der Anwender im Land, die Attacken von mobilen Bank-Trojanern ausgesetzt waren, an allen Nutzern von Kaspersky Mobile Security im Land.

Am intensivsten werden mobile Bankschädlinge in Korea verbreitet. Traditionell sehr aktiv sind die Cyberkriminellen auch in Russland und anderen postsowjetischen Ländern. Solche Länder belegten vier der ersten fünf Positionen im Rating.

Ein Indikator für die Popularität von mobilen Bank-Trojanern unter Cyberkriminellen in jedem Land könnte auch das Verhältnis zwischen der Anzahl der Anwender, deren mobile Geräte mindestens einmal im Laufe des Quartals von mobilen Trojanern angegriffen wurden, und allen Anwendern in diesem Land sein, bei denen Kaspersky Mobile Security mindestens einmal im Quartal Alarm geschlagen hat. Dieses Rating unterscheidet sich von dem oben dargestellten:

Top 10 der Länder nach Anteil der von mobilen Bank-Trojanern angegriffenen Anwender an allen angegriffenen Anwendern

  Land* Prozentualer Anteil der von mobilen Bank-Trojanern angegriffenen Anwender an allen angegriffenen Anwendern**
1 Südkorea 31,72%
2 Russland 10,35%
3 Australien 6,62%
4 Österreich 6,03%
5 Japan 4,73%
6 Usbekistan 4,17%
7 Weißrussland 3,72%
8 Ecuador 3,50%
9 Ukraine 3,46%
10 Schweiz 3,09%

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
** Prozentualer Anteil individueller Anwender im Land, die von mobilen Bank-Trojanern angegriffen wurden, an allen individuellen Anwendern in dem Land, die von mobilen Schädlingen angegriffen wurden.

In Korea wurde fast ein Drittel aller von mobilen Schädlingen angegriffenen Anwender auch von mobilen Bank-Trojanern attackiert. In Russland war jeder zehnte attackierte Anwender einem Angriff von mobilen Bank-Schädlingen ausgesetzt. In den übrigen Ländern ist dieser Wert geringer. Interessant ist, dass von den fünf sichersten Ländern hinsichtlich der Wahrscheinlichkeit, mit mobilen Schädlingen infiziert zu werden (siehe unten), vier in dieser Hitliste landeten, und zwar Australien, Österreich, Japan und die Schweiz.

Geografie der mobilen Bedrohungen

Karte der Infektionsversuche mit mobilen Schädlingen im zweiten Quartal 2015
(Anteil angegriffener Anwender im Land)

Top 10 der von mobilen Schadprogrammen angegriffenen Länder nach prozentualem Anteil der Anwender

  Land* Prozentualer Anteil der angegriffenen Anwender**
1 China 16,34%
2 Malaysia 12,65%
3 Nigeria 11,48%
4 Bangladesch 10,89%
5 Tansania 9,66%
6 Algerien 9,33%
7 Usbekistan 8,56%
8 Russland 8,51%
9 Ukraine 8,39%
10 Weißrussland 8,05%

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
** Prozentualer Anteil der im jeweiligen Land angegriffenen Anwender an allen Nutzern von Kaspersky Mobile Security im Land.

Spitzenreiter in diesem Rating wurde China, wo 16,34 Prozent der Nutzer von Kaspersky Mobile Security mindestens einmal im Laufe des Quartals Attacken ausgesetzt waren. Auf dem zweiten Platz befindet sich Malaysia mit einem Wert von 12,65 Prozent. Russland (8,51 %), die Ukraine (8,39 %) und Weißrussland (8,05 %) schließen die Top 10 ab und lassen Ländern aus Asien und Afrika den Vortritt.

Korea belegte in diesem Rating den elften Platz mit einem Wert von 7,46 Prozent. Korea ist anscheinend ein attraktives Ziel mobiler Bank-Trojaner: Von solchen Schadprogrammen wurden 31,72 Prozent aller von mobilen Schädlingen angegriffenen Anwender attackiert.

Die nach diesem Wert sichersten Länder:

  Land Prozentualer Anteil der angegriffenen Anwender
1 Japan 1,06%
2 Kanada 1,82%
3 Österreich 1,96%
4 Australien 2,16%
5 Schweiz 2,19%

Von Cyberkriminellen ausgenutzte verwundbare Anwendungen

Das unten dargestellte Rating der angreifbaren Anwendungen basiert auf Daten über die von unseren Produkten blockierten Exploits, die von Cyberkriminellen sowohl in Attacken über das Web als auch bei Angriffen auf lokale Anwendungen verwendet werden – unter anderem auch auf mobilen Geräten.

Verteilung der in Cyberattacken eingesetzten Exploits nach Typen der angegriffenen Anwendungen, zweites Quartal 2015

Die Kräfteverteilung der Exploits hat sich gegenüber dem ersten Quartal praktisch nicht geändert. Nach wie vor stehen hier die Exploits für Browser (60 %) an erster Stelle. Gegenwärtig enthalten die meisten Exploit-Packs eine Kombination aus Exploits für den Adobe Flash Player und für den Internet Explorer. Wir bemerkten einen deutlichen Zuwachs der Exploits für den Adobe Reader (+6 Prozentpunkte). Das hängt mit der großen Zahl an Spam-Versendungen zusammen, die schädliche PDF-Dokumente enthalten.

Traditionell registrierten wir einen Rückgang des Java-Exploit-Anteils (-4 Prozentpunkte). Im zweiten Quartal stießen wir praktisch überhaupt nicht auf neue Exploits für Java.

Im zweiten Quartal beobachtete das Kaspersky-Team die Ausnutzung der folgenden neuen Sicherheitslücken im Adobe Flash Player:

  • CVE-2015-3113
  • CVE-2015-3104
  • CVE-2015-3105
  • CVE-2015-3090

Obwohl der Anteil der Exploits für den Adobe Flash Player in unserem Rating insgesamt nur drei Prozent beträgt, gibt es in „freier Wildbahn“ durchaus mehr davon. Bei der Interpretation dieser Statistik muss man unbedingt berücksichtigen, dass die Technologien von Kaspersky Lab die Exploits auf verschiedenen Etappen erkennen. In die Kategorie „Browser“ fallen auch die Detektionen von Landing-Pages, von denen aus die Exploits in Umlauf gebracht werden. Wir konnten beobachten, dass es sich dabei größtenteils um Exploits für den Adobe Flash Player handelt.

Schadprogramme im Internet (Attacken über das Web)

Die statistischen Daten in diesem Abschnitt basieren auf dem Modul Kaspersky Anti-Virus, das einen Computer in dem Moment schützt, in dem Schadcode von einer schädlichen oder infizierten Webseite geladen wird. Schädliche Webseiten werden von Cyberkriminellen eigens erstellt. Infiziert sein können Webressourcen, deren Inhalt von den Nutzern selbst generiert wird (zum Beispiel Foren) und gehackte legitime Ressourcen.

Online-Bedrohungen im Bankensektor

Im zweiten Quartal 2015 wehrten die Lösungen von Kaspersky Lab auf den Computern von 755.642 KSN-Anwendern Ausführungsversuche von Software ab, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert ist. Im Vergleich zum vorangegangenen Quartal (929.082) nahm dieser Wert um 18,7 Prozent ab. Im zweiten Quartal 2014 waren es 735.428 KSN-Anwender.

Die Schutzlösungen von Kaspersky Lab registrierten im zweiten Quartal 2015 insgesamt 5.903.377 Meldungen über Infektionsversuche durch Schadprogramme, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert sind.

Zahl der von Finanzmalware angegriffenen Computer, zweites Quartal 2015

Geografie der Attacken

Mit dem zweiten Quartal 2015 haben wir die Methode zur Erstellung des Länder-Ratings nach schädlicher Aktivität von Banktrojanern geändert. In früheren Quartalsberichten erstellten wir das entsprechende Rating nach der Anzahl der angegriffenen Anwender. Das ist zwar ein wichtiger Wert, doch er ist abhängig von der Zahl der Nutzer von Kaspersky-Produkten in den jeweiligen Ländern.

Um den Grad des Risikos einer Infektion mit Bank-Trojanern, dem Computer in den verschiedenen Ländern der Welt ausgesetzt sind, beurteilen und vergleichen zu können, haben wir für jedes Land den Anteil der Nutzer von Kaspersky-Lab-Produkten, die im Berichtszeitraum mit dieser Bedrohung konfrontiert wurden, an allen Nutzern unserer Produkte im Land berechnet.

Geografie der Attacken von Bank-Schädlingen im zweiten Quartal 2015 (Prozentsatz der angegriffenen Anwender)

Top 10 der Länder nach prozentualem Anteil der angegriffenen Anwender

  Land* Prozentualer Anteil der angegriffenen Anwender**
1 Singapur 5,28%
2 Schweiz 4,16%
3 Brasilien 4,07%
4 Australien 3,95%
5 Hongkong 3,66%
6 Türkei 3,64%
7 Neuseeland 3,28%
8 Südafrika 3,13%
9 Libanon 3,10%
10 Vereinigte Arabische Emirate 3,04%

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil individueller Anwender von Kaspersky-Lab-Produkten, die Angriffen von Bank-Trojanern ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Im zweiten Quartal 2015 wurde das Rating nach prozentualem Anteil der Nutzer von Kaspersky-Produkten, die von Bank-Trojanern angegriffen wurden, von Singapur angeführt. Das Niveau der technischen Entwicklung ist in den meisten Ländern aus den Top 10 sehr hoch. Auch das Bankensystem ist dort meistens sehr gut ausgebaut. Beides zieht die Aufmerksamkeit von Cyberkriminellen an.

In Russland hatten es 0,75 Prozent der Nutzer im Laufe des Quartals mindestens einmal mit Bank-Trojanern zu tun, in den USA waren es 0,89 Prozent, in Spanien 2,02 Prozent, in Großbritannien 1,58 Prozent, in Italien 1,57 Prozent und in Deutschland waren es 1,16 Prozent.

Top 10 der Bank-Malware-Familien

Die Top 10 der Schadprogramm-Familien, die in Attacken auf Nutzer von Online-Banking-Systemen verwendet wurden, sehen für das zweite Quartal 2015 folgendermaßen aus (nach Anzahl der angegriffenen Anwender):

  Name Anzahl der Meldungen Anzahl der angegriffenen Anwender
1 Trojan-Downloader.Win32.Upatre 3888061 419940
2 Trojan-Spy.Win32.Zbot 889737 177665
3 Trojan-Banker.Win32.ChePro 264534 68467
4 Backdoor.Win32.Caphaw 72128 25923
5 Trojan-Banker.Win32.Banbra 56755 24964
6 Trojan.Win32.Tinba 175729 22942
7 Trojan-Banker.AndroidOS.Marcher 60819 19782
8 Trojan-Banker.AndroidOS.Faketoken 43848 13446
9 Trojan-Banker.Win32.Banker 23225 9209
10 Trojan-Banker.Win32.Agent 28658 8713

Die überragende Mehrheit der Schädlinge aus den Top 10 schleust willkürlichen HTML-Code in die vom Browser dargestellte Webseite ein und fängt Bezahldaten ab, die der Anwender in originale und eingefügte Webformulare eingibt.

Die Zusammensetzung des Führungstrios im Rating der Bank-Schädlinge hat sich gegenüber dem vorangegangenen Quartal nicht geändert. Trojan-Downloader.Win32.Upatre steht nach wie vor an der Spitze der Hitliste. Die Schädlinge aus dieser Familie sind relativ simpel, nicht mehr als 3,5 KB groß, und sie laden üblicherweise Bank-Trojaner aus einer Familie, die als Dyre/Dyzap/Dyreza bekannt ist. Die Liste der von diesem Banker angegriffenen Finanzinstitutionen hängt von der Konfigurationsdatei ab, die vom Steuerungszentrum geladen wird.

Im zweiten Quartal 2015 gab es im Rating mehrere Neueinsteiger, und zwar Backdoor.Win32.Caphaw, Trojan-Banker.AndroidOS.Marcher und Trojan-Banker.AndroidOS.Faketoken

Backdoor.Win32.Caphaw wurde erstmals im Jahr 2011 entdeckt und setzt die Technik Man-in-the-Browser ein, um Bezahldaten von Online-Banking-Kunden zu stehlen.

Trojan-Banker.AndroidOS.Faketoken und Trojan-Banker.AndroidOS.Marcher greifen mobile Android-Geräte an. Faketoken funktioniert in Kooperation mit Bank-Trojanern für PCs. Um ihn in Umlauf zu bringen, setzen die Cyberkriminellen Social Engineering ein. Wenn ein Bankkunde mit seinem infizierten PC eine Online-Banking-Seite besucht, verändert der Trojaner diese Seite und fordert den Anwender auf, eine Android-App herunterzuladen, die die Transaktion angeblich schützt. Tatsächlich aber führt der angebotene Link auf die Faketoken-App. Nachdem sich Faketoken auf dem Smartphone des Opfers eingenistet hat, erhalten die Verbrecher über den mit einem Bank-Trojaner infizierten Computer des Anwenders Zugriff auf das Bankkonto, und mit dem infizierten mobilen Gerät fangen sie die mTAN ab. Der zweite mobile Bank-Trojaner ist Trojan-Banker.AndroidOS.Marcher. Nachdem er ein mobiles Gerät infiziert hat, wartet er auf Start von genau zwei Apps: eine Anwendung für das mobile Banking einer europäischen Bank und Google Play. Ruft der Anwender Google Play auf, zeigt Marcher dem Anwender ein gefälschtes Google-Play-Fenster an, in dem er seine Kreditkartendaten eingeben soll, die dann den Online-Gangstern in die Hände fallen. Genau so geht der Trojaner auch vor, wenn der Nutzer eine Banking-App öffnet.

Finanzbedrohungen

Die Finanzbedrohungen sind nicht auf Bankenschädlinge begrenzt, die die Nutzer von Online-Banking-Systemen angreifen.

Zahl der Angriffe durch Finanz-Malware

Im Vergleich zum vorangegangenen Quartal stieg der Anteil der Bank-Malware von 71 Prozent auf 83 Prozent. Zur zweitgefährlichsten Finanzbedrohung wurden im zweiten Quartal die Bitcoin-Miner – Schadsoftware, die die Rechenleistung eines infizierten Computers zur Generierung von Bitcoins ausnutzt. Im vergangenen Quartal befand sich diese Schädlingskategorie auf Platz drei. Wir weisen darauf hin, dass einige Entwickler legitimer Software heimlich Bitcoin-Miner in ihren Apps installieren.

Top 20 der schädlichen Objekte im Internet

Im zweiten Quartal 2015 erkannte Kaspersky Anti-Virus 26.084.253 individuelle schädliche Objekte (wie Skripte, Exploits und ausführbare Dateien).

Von allen schädlichen und potenziell unerwünschten Programmen hat das Kaspersky-Team nachfolgend die 20 aktivsten aufgeführt. Auf sie entfielen 96,5 Prozent aller Attacken im Internet.

Top 20 der schädlichen Objekte im Internet

  Name* Anteil an allen Attacken in Prozent**
1 AdWare.JS.Agent.bg 47,66%
2 Malicious URL 32,11%
3 Trojan.Script.Generic 4,34%
4 AdWare.Script.Generic 4,12%
5 Trojan.Script.Iframer 3,99%
6 AdWare.JS.Agent.bt 0,74%
7 Exploit.Script.Blocker 0,56%
8 Trojan.Win32.Generic 0,49%
9 AdWare.AndroidOS.Xynyin.a 0,49%
10 Trojan-Downloader.Win32.Generic 0,37%
11 Trojan-Ransom.JS.Blocker.a 0,34%
12 Trojan-Clicker.JS.Agent.pq 0,23%
13 AdWare.JS.Agent.an 0,20%
14 AdWare.JS.Agent.by 0,19%
15 Trojan.Win32.Invader 0,12%
16 Trojan-Downloader.Win32.Genome.qhcr 0,11%
17 AdWare.Win32.Amonetize.ague 0,11%
18 AdWare.Win32.MultiPlug.nnnn 0,10%
19 AdWare.NSIS.Agent.cv 0,09%
20 Trojan-Downloader.Script.Generic 0,09%

* Von Kaspersky Anti-Virus erkannte Objekte. Die Informationen stammen von KSN-Teilnehmern, die der Übermittlung der Daten zu statistischen Zwecken zugestimmt haben.
** Anteil an allen Web-Attacken, die auf den Computern einzelner KSN-Teilnehmer registriert wurden.

Die Top 20 setzen sich größtenteils aus Schadfamilien zusammen, deren Vertreter bei Drive-by-Attacken benutzt werden, sowie aus Werbeprogrammen.

Die aggressive Verbreitung von Werbeprogrammen spiegelt sich erneut in diesem Rating wider: 10 von zwanzig Positionen werden von Objekten besetzt, die der Kategorie Adware zuzuordnen sind, und den ersten Platz belegt das Skript AdWare.JS.Agent.bg, das Werbeprogramme in beliebige Webseiten einschleust. Dieses Skript verdrängte sogar Malicious URL – eine Kategorie, unter die Links aus der Schwarzen Liste fallen und die nach den Ergebnissen des Quartals den zweiten Platz belegte.

Ebenfalls erwähnenswert ist das Auftauchen der Familie AdWare.AndroidOS.Xynyin.a mit einer für dieses Rating ungewöhnlichen Plattform. Das unter diese Klassifizierung fallende Schadprogramm ist ein Werbemodul für Android, das in verschiedene Apps integriert werden kann (beispielsweise in Programme, die die Arbeit des Mobilgeräts „beschleunigen“). Eine dieser Apps war im März und April dieses Jahres sehr populär, und wurde dementsprechend häufig von Anwendern heruntergeladen. Da es bei Google Play keine derartigen Programme gibt, fanden Interessierte sie im Internet und luden sie in erster Linie über ihre Computer herunter.

Bei Trojan-Ransom.JS.Blocker.a handelt es sich um ein Skript, das mit Hilfe der regelmäßigen Seiten-Aktualisierung versucht, den Browser zu blockieren und eine Mitteilung einzuschleusen. Sie enthält die Aufforderung, für das Angucken unziemlichen Materials eine „Strafe“ in eine angegebene elektronische Brieftasche einzuzahlen. Dieses Skript findet sich hauptsächlich auf Pornowebseiten.

Top 10 der Ursprungsländer von Webattacken

Diese Statistik zeigt die Verteilung der Quellen der von Kaspersky Anti-Virus blockierten Webattacken auf die Computer der KSN-Teilnehmer nach Ländern (zum Beispiel Webseiten mit Redirects auf Exploits, Webseiten mit Exploits und anderen Schadprogrammen sowie Steuerungszentren von Botnetzen). Jeder individuelle Host kann der Ursprung einer oder mehrerer Webattacken sein.

Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen die Kaspersky-Experten die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

Im zweiten Quartal 2015 wehrten die Lösungen von Kaspersky Lab 379.972.834 Attacken ab, die von Internet-Ressourcen in verschiedenen Ländern der Welt durchgeführt wurden. Insgesamt 89 Prozent der Benachrichtigungen über die Blockierung von Attacken entfielen auf Angriffe von Webressourcen, die sich in insgesamt zehn Ländern der Welt befinden.

Verteilung der Quellen von Webattacken nach Ländern, zweites Quartal 2015

Der Spitzenreiter dieses Ratings ist unverändert Russland (51 %), dessen Anteil um 11,27 Prozentpunkte zugenommen hat. Anders als im vergangenen Quartal ist die Schweiz nun nicht mehr in den Top 10 vertreten. Auf dem achten Platz positionierte sich Singapur mit einem Wert von 1,56 Prozent.

Länder, in denen die Computer dem größten Risiko einer Infektion über das Internet ausgesetzt waren

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in verschiedenen Ländern ausgesetzt sind, hat das Kaspersky-Team für jedes Land berechnet, wie hoch der prozentuale Anteil der individuellen Anwender von Kaspersky-Lab-Produkten war, bei denen Kaspersky Anti-Virus im Laufe des Quartals Alarm geschlagen hat. Die so erhaltenen Daten sind ein Indikator für die Aggressivität der Umgebung, in der die Computer in den verschiedenen Ländern arbeiten.

  Land* Prozentualer Anteil individueller KSN-Teilnehmer**
1 Russland 38,98%
2 Kasachstan 37,70%
3 Ukraine 35,75%
4 Syrien 34,36%
5 Weißrussland 33,02%
6 Aserbaidschan 32,16%
7 Thailand 31,56%
8 Georgien 31,44%
9 Moldawien 31,09%
10 Vietnam 30,83%
11 Armenien 30,19%
12 Kirgisien 29,32%
13 Kroatien 29,16%
14 Algerien 28,85%
15 Katar 28,47%
16 China 27,70%
17 Mongolei 27,27%
18 Mazedonien 26,67%
19 Bosnien-Herzegowina 25,86%
20 Griechenland 25,78%

Die vorliegende Statistik basiert auf den Alarmen von Kaspersky Anti-Virus. Die Daten stammen von den Computern der KSN-Teilnehmer, die ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben.

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
**Prozentualer Anteil individueller Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Im zweiten Quartal 2015 kehrte Russland, das im letzten Quartal den zweiten Platz belegte, an die Spitze des Ratings zurück. Anders als im ersten Quartal sind die folgenden Länder nicht mehr in den Top 20 vertreten: Vereinigte Arabische Emirate, Lettland, Tadschikistan, Tunesien und Bulgarien. Die Neueinsteiger sind Syrien, das gleich auf dem vierten Platz landete (34,36 %), Thailand auf Position sieben (31,56 %), Vietnam auf dem zehnten Platz (30,83 %) sowie China (Platz 16, 27,70 %) und Mazedonien (Platz 18, 26,67 %).

Zu den beim Surfen im Internet sichersten Ländern gehören Argentinien (13,2 %), die Niederlande (12,5 ), Korea (12,4 %), Schweden (11,8 %), Paraguay (10,2 %) und Dänemark (10,1 %).

Durchschnittlich waren im Laufe des Quartals weltweit 23,9 Prozent der Computer von Internetnutzern mindestens einmal einer Webattacke ausgesetzt.

Lokale Bedrohungen

Ein sehr wichtiger Indikator ist die Statistik der lokalen Infektionen der Computer. Zu diesen Daten gehören sowohl Objekte, die mittels Infektion von Dateien oder über mobile Datenträger in die Systeme eindringen, als auch Objekte, die ursprünglich nicht in offener Form auf den Computer gelangt sind (beispielsweise Programme, die zu komplexen Installern gehören oder verschlüsselte Dateien).

In diesem Abschnitt präsentiert das Kaspersky-Team statistische Daten, die auf der Arbeit des Echtzeit-Scanners der Kaspersky-Lösungen basieren. Hinzu kommen Statistiken über den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand-Scanner).

Im zweiten Quartal registrierten unsere Antiviren-Lösungen 110.731.713 individuelle schädliche und potenziell unerwünschte Objekte.

Top 20 der auf den Computern entdeckten schädlichen Objekte

  Name* Prozentualer Anteil der individuellen angegriffenen KSN-Teilnehmer**
1 DangerousObject.Multi.Generic 22,64%
2 Trojan.Win32.Generic 15,05%
3 Trojan.WinLNK.StartPage.gena 8,28%
4 AdWare.Script.Generic 7,41%
5 Adware.NSIS.ConvertAd.heur 5,57%
6 WebToolbar.Win32.Agent.azm 4,48%
7 WebToolbar.JS.Condonit.a 4,42%
8 Trojan-Downloader.Win32.Generic 3,65%
9 Downloader.Win32.MediaGet.elo 3,39%
10 Trojan.Win32.AutoRun.gen 3,29%
11 Downloader.Win32.Agent.bxib 3,26%
12 WebToolbar.JS.CroRi.b 3,09%
13 RiskTool.Win32.BackupMyPC.a 3,07%
14 Virus.Win32.Sality.gen 2,86%
15 Worm.VBS.Dinihou.r 2,84%
16 WebToolbar.Win32.MyWebSearch.si 2,83%
17 DangerousPattern.Multi.Generic 2,75%
18 AdWare.NSIS.Zaitu.heur 2,70%
19 AdWare.BAT.Clicker.af 2,67%
20 AdWare.Win32.MultiPlug.heur 2,54%

* Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.
** Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen mit Kaspersky-Produkten ausgestatteten Computern, auf denen Kaspersky Anti-Virus Alarm geschlagen hat.

Traditionell werden die meisten Plätze dieses Ratings von Adware und ihren Komponenten (wie beispielsweise AdWare.BAT.Clicker.af) sowie Würmern belegt, die sich auf mobilen Datenträgern verbreiten.

Der einzige Virus im Rating ist Virus.Win32.Sality.gen, der immer mehr an Boden verliert. Der Anteil der mit diesem Virus infizierten Computer geht schon seit langer Zeit stetig zurück. Im Rating für das zweite Quartal 2015 belegte Sality mit einem Wert von 2,86 Prozent den 14. Platz, das sind 0,32 Prozentpunkte weniger als im vergangenen Quartal.

Länder, in denen die Computer dem höchsten Risiko einer lokalen Infektion ausgesetzt waren

Für jedes dieser Länder haben wir berechnet, wie hoch der prozentuale Anteil der Nutzer von Kaspersky-Lab-Produkten ist, bei denen Kaspersky Anti-Virus im Berichtszeitraum Alarm geschlagen hat. Diese Statistik spiegelt das Infektionsniveau von PCs in den verschiedenen Ländern der Welt wider.

Top 20 der Länder nach Infektionsniveau der Computer

  Land* Prozentualer Anteil individueller KSN-Teilnehmer**
1 Bangladesch 60,53%
2 Vietnam 59,77%
3 Pakistan 58,79%
4 Mongolei 58,59%
5 Georgien 57,86%
6 Somalia 57,22%
7 Nepal 55,90%
8 Afghanistan 55,62%
9 Algerien 55,44%
10 Armenien 55,39%
11 Russland 54,94%
12 Laos 54,77%
13 Irak 54,64%
14 Kasachstan 54,23%
15 Syrien 53,00%
16 Tunesien 53,75%
17 Äthiopien 53,44%
18 Ruanda 53,17%
19 Ukraine 53,01%
20 Kambodscha 52,88%

Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt. Berücksichtigt wurden Schadprogramme, die direkt auf den Computern gefunden wurden oder auf Wechseldatenträgern, die an die Computer angeschlossen waren, zum Beispiel USB-Sticks, Speicherkarten aus Fotoapparaten und Telefonen oder externe Festplatten.

*Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
**Prozentualer Anteil von Anwender-PCs, auf denen lokale Bedrohungen blockiert wurden, an allen Nutzern von Kaspersky-Produkten in diesem Land.

In diesem Quartal belegt Bangladesch mit einem Wert von 60,53 Prozent den ersten Platz und verdrängt Vietnam damit auf Position zwei, das Land, das die Hitliste im Laufe der letzten zwei Jahre anführte. Pakistan (58,79 %) stieg von Platz 13 im vergangenen Quartal auf den dritten Rang auf.

Neu in dem Rating sind Georgien, das sich gleich auf Platz fünf (57,86 %) positionierte, Russland auf dem elften Platz (54,94 %), Tunesien auf Rang sechzehn (53,75 %) und die Ukraine auf Platz neunzehn (53,01 %).

Die in Bezug auf lokale Infektionen sichersten Länder sind Schweden (19,7 %), Dänemark (18,4 %) und Japan (15,5 %).

Durchschnittlich wurden im Laufe des zweiten Quartals 2015 weltweit auf 40 Prozent der Computer von KSN-Teilnehmern mindestens einmal lokale Bedrohungen registriert, das sind 0,2 Prozentpunkte mehr als im ersten Quartal 2015.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.