Kaspersky Security Bulletin 2006: Schadprogramme für mobile Geräte

  1. Entwicklung der Schadprogramme
  2. Schadprogramme für Unix-ähnliche Systeme
  3. Schadprogramme für mobile Geräte
  4. Internet-Attacken
  5. Spam in 2006

Schlussfolgerungen aus dem Jahr 2006

2006 gab es auf dem Gebiet der mobilen Virologie mehrere bemerkenswerte Ereignisse, die aller Wahrscheinlichkeit nach die Entwicklung in den kommenden Jahren bestimmen.

  1. Es wurden kommerzielle Trojaner-Programme für Symbian entwickelt.
  2. Die Übeltäter haben gelernt, Geld von mobilen Konten der Anwender zu stehlen.
  3. Erstmals wurden nicht nur Smartphones, sondern auch „gewöhnliche“ Handys infiziert.

Statistische Veränderungen im Jahr 2006

Im Herbst 2005 prognostizierten die Experten von Kaspersky Lab für 2006 eine gleichmäßige Flut von Modifikationen bekannter Viren und nur selten technologische Neuerungen. Zusätzliches Stimuli für die Virenschreiber könnte nur ein offensichtlicher finanzieller Vorteil sein, beispielsweise die Nutzung von Handys zur elektronischen Zahlung. Die Gefahr einer globalen Epidemie durch mobile Viren wurde für die nächsten zwei Jahre nicht erwartet.

Statistisch gesehen traten mobile Viren 2006 in folgender Häufigkeit auf (laut Klassifikation von Kaspersky Lab):

  • Zahl der bekannten mobilen Viren-Familien: 22
  • Zahl der bekannten Varianten und Modifikationen dieser Familien: 106
  • bekannte Zahl der attackierter Plattformen/ Betriebssysteme: 2 (Symbian und WinCE)

Der Jahresbeginn 2006 war durch eine Zunahme der Schadprogramme für mobile Geräte gekennzeichnet. Allein von Februar bis April erschienen 43 Modifikationen verschiedener mobiler Viren. Auf der Spitze ihrer Aktivität lieferten die Virenschreiber den Antivirus-Unternehmen etwa zehn Varianten pro Woche, wobei die asiatischen Hacker am ertragreichsten waren: Insgesamt zeichneten sich ihre Entwicklungen durch eine Plattform-Vielfalt und noch wenig erforschte Verbreitungsmöglichkeiten aus.

Es schien, als ob die Virenschreiber dieses eingeschlagene Tempo über einen längeren Zeitraum durchhalten wollten. Das hätte bedeutet, dass die Entwicklung mobiler Viren „Industrie“-Niveau erreichen würde, vergleichbar mit dem Niveau der Produktion herkömmlicher Computer-Viren. Im zweiten Halbjahr 2006 kam die „Produktion“ neuer mobiler Viren jedoch mehr oder weniger zu einem Stillstand; auch bereits bekannte Familien wurde so gut wie nicht mehr modifiziert.

Bis Ende 2006 hielt die Tendenz einer „geminderten Aktivität“ an: nur zwei bis sieben neue Modifikationen bekannter Familien wurden im Durchschnitt pro Monat entdeckt. Zur gleichen Zeit verringerte sich die Anzahl der aktiven Autoren mobiler Viren spürbar. Gegenwärtig wird die überwiegende Mehrheit aller neuen mobilen Schädlinge weltweit von ein bis zwei Autoren erstellt. Diese Entwicklungen zeichnen sich jedoch nicht durch besondere Technologien aus, sondern gehören vielmehr zur Klasse primitiver Trojaner-Overwriter.


Zunahme der Anzahl der Varianten mobiler Viren im Jahr 2006

Statistische Daten von Ende 2006:

  • Bekannte Zahl der Familien mobiler Viren: 35 (+13) , Wachstum 37%
  • Bekannte Zahl Varianten und Modifikationen:186 (+80), Wachstum 45%
  • Bekannte Plattformen/Betriebssysteme: 4 (+2, J2ME und MSIL)

Neue Technologien

Daten-Diebstahl

2006 hat die Epoche der kommerziellen Trojaner-Spione für Symbian begonnen. Im April wurde der erste vollfunktionsfähige Spion entdeckt, der von seinen Erstellern auf deren Webseite für 50,- US-Dollar verkauft wurde: Einmal installiert, erhält Flexispy die totale Kontrolle über das Smartphone und schickt dem Übeltäter Daten über durchgeführte Anrufe und verschickte SMS.

Der September 2006 brachte für Symbian die nächste ähnliche Entwicklung – Spion Acallno sammelt und alle vom infizierten Telefon empfangenen SMS und verschickt sie an eine bestimmte Numm.

Geld-Diebstahl

Die Virenschreiber demonstrierten 2006 lediglich eine Methode für Geld-Diebstahl via mobile Geräte. Mit der Entwicklung dieser Technologie nutzten unbekannte russische Hacker zwei Mal (Februar und September) eine Funktion der mobilen Welt aus – so genannte Premium-Nummern. Im Februar verbreiteten sie den Trojaner RedBrowser, der sich als Utility für den Internet-Zugang über SMS ausgab, in Wirklichkeit jedoch SMS an Premium-Nummern verschickte. Für jede verschickte SMS wurden dem Mobilfunkkunden etwa 5,- US-Dollar in Rechnung gestellt. Wesber, ein weiterer Trojaner dieser Art wurde im September 2006 entdeckt.

Verbreitungsmethoden

Frühere mobile Viren unterschieden sich durch eigene, Computer-Viren unähnliche Verbreitungs-Methoden über Bluetooth oder MMS. Die Programmier-Plattform .NET, die unter anderem in WinCE zum Einsatz kommt, ermöglicht jedoch die Verwendung eines weiteren, traditionellen Weges: Die Verbreitung über E-Mail. Wurm Letum benimmt sich genauso wie Tausende gewöhnliche Computer-Mail-Würmer: Gelangt er auf das mobile Gerät, verschickt er sich an alle E-Mail-Adressen, die er in den Kontaktlisten des infizierten Telefons findet. Außerdem wird Letum zu den Crossplattform-Viren gezählt, da er auch unter .NET funktioniert.

Crossplattform-Viren

Der Virus Cxover gilt als erster mobiler Crossplattform-Schädling. Wird er aktiviert, überprüft er zunächst, welches Betriebssystem vorliegt. Ist er auf dem PC gestartet, sucht er angeschlossene mobile Geräte über ActiveSync. Anschließend kopiert sich der Virus über ActiveSync auf das gefundene Gerät. Gelangt er auf ein Telefon (oder Pocket-PC) nimmt er den umgekehrten Weg und kopiert sich – sobald eine Verbindung vorliegt – auf den PC. Außerdem ist er in der Lage, Anwender-Daten auf dem mobilen Gerät zu entfernen.

Der Wurm Mobler geht etwas anders vor. Wird er auf einem PC (Win32-Komponente) gestartet, erstellt er auf der Festplatte E eine sis-Datei. Die sis-Datei enthält einige leere Dateien und überschreibt damit eine Reihe von System-Anwendungen des Telefons. Außerdem ist in der Datei derselbe Win32-Wurm enthalten, der sich auf die Speicherkarte des Telefons kopiert und mit der Datei autorun.inf ergänzt wird. Wenn ein solches infiziertes Handy an den PC angeschlossen versucht wird, über den PC die Speicherkarte des Telefons aufzurufen, so wird der Wurm automatisch gestartet und der Computer infiziert.

Neue Plattformen

Von allen mobilen Plattformen wurden bis 2006 nur die beiden am weitesten verbreiteten Betriebssysteme, Symbian und WinCE, von Viren befallen. Der im Februar 2006 entdeckte Trojaner RedBrowser wurde zu einer unangenehmen Überraschung. Erstmals befiel ein mobiler Schadcode auch „gewöhnliche“ Handys, welche die Plattform J2ME für die Ausführung einiger Anwendungen nutzen.

Die Infektion praktisch aller existierenden mobilen Telefone durch Schadprogramme, – was noch bis vor kurzem als unmöglich galt – wurde damit zur Realität. Das Erscheinen von Trojanern für J2ME stellt ein nicht minder ernst zu nehmendes Ereignis dar als das Erscheinen des ersten Wurms für Smartphones im Juni 2004.

Noch sind die potenziellen Bedrohungen schwer einzuschätzen, doch allein die Tatsache, dass der Anteil gewöhnlicher Handys den von Smartphones weit übersteigt und Handys bereits infiziert wurden, zwingt Antiviren-Unternehmen zu weiteren Untersuchungen auf dem Gebiet der Entwicklung eines Virenschutzes für diese Geräteklasse.

Im Frühjahr wurde außerdem der erste konzeptionelle Backdoor für BlackBerry-Geräte entdeckt, der jedoch unter Java realisiert wurde. Aus diesem Grunde kann er nicht eindeutig zu Viren für eine neue Plattform zugeordnet werden.

Von 13 neuen Familien, die von Kaspersky Lab 2006 entdeckt wurden, enthielten sieben technologische Neuerungen, unter anderem für zwei neue Plattformen.

Innovationen Familie Entdeckt
im
Betriebs-system Funktion
+ Trojan-SMS.J2ME.RedBrowser Februar 06 J2ME SMS-Versand
+ Worm.MSIL.Cxover März 06 Windows Mobile / .NET Entfernen von Dateien, Kopieren seines Körpers auf andere Geräte
Worm.SymbOS.StealWar März 06 Symbian Daten-Diebstahl, Verbreitung über BlueTooth und MMS
+ Email-Worm.MSIL.Letum März 06 Windows Mobile / .NET Verbreitung über E-Mail
+ Trojan-Spy.SymbOS.Flexispy April 06 Symbian Daten-Diebstahl
Trojan.SymbOS.Rommwar April 06 Symbian Austausch von System-Anwendungen
Trojan.SymbOS.Arifat April 06 Symbian
Trojan.SymbOS.Romride Juni 06 Symbian Austausch von System-Anwendungen
+ Worm.SymbOS.Mobler.a August 06 Symbian Entfernung der Antivirus-Dateien, Austausch von System-Anwendungen, Verbreitung über Speicherkarte
+ Trojan-SMS.J2ME.Wesber September 06 J2ME SMS-Versand
+ Trojan-Spy.SymbOS.Acallno September 06 Symbian Daten-Diebstahl
Trojan.SymboS.Flerprox Oktober 06 Symbian Austausch der System-Ladeprogramme
not-a-virus:Tool.SymbOS.Hidmenu Oktober 06 Symbian Anwendung

Neue Familien mobiler Viren 2006

Aktuelle Situation

Hauptbedrohung für die Anwender stellen gegenwärtig die mobilen Würmer Cabir und ComWar dar, die bereits in fast 30 Ländern weltweit aufgetreten sind. Diese Würmer sind jedoch nicht auf Geld-Diebstahl ausgerichtet und bringen dem Anwender nur indirekt finanziellen Schaden (ComWar verbreitet sich über MMS, wofür dem Anwender bezahlen muss). Einen direkten finanziellen Vorteil über mobile Viren zu erzielen, haben die Autoren bislang noch nicht geschafft. Trojaner, die SMS an kostenpflichtige Nummern schicken, stellen bislang nur erste Versuche der Virenschreiber dar. Daten, die auf Handys gespeichert werden, sind für die meisten Übeltäter nicht von Interesse. Außerdem ist es – noch – einfacher, Daten vom Computer zu stehlen, als vom Telefon.

Die aktuelle Situation auf dem Gebiet der mobilen Viren kann als „Ruhe vor dem Sturm“ bezeichnet werden. Von technologischer Seite aus gesehen haben die Virenschreiber bereits sämtliche Möglichkeiten ausgeschöpft, was Funktionalität und Plattformen für mobile Viren angeht.

Alle bekannten mobilen Plattformen sind durch Viren angreifbar geworden, und die Bandbreite der Funktionen aller bekannten Würmer, Trojaner und Viren wiederholen in vollem Umfang die Entwicklung in der Welt der Computerviren.

Derzeit befassen sich die Autoren mobiler Viren mit dem Erstellen einer kleineren Flut unkomplizierter Trojaner. Wie oben bereits erwähnt, geht die höchste Aktivität von einigen Script-Kiddies aus, was zu einer neuen Welle Modifikationen bereits bekannter Familien führen kann (vergleichbar mit der, die wir im Dezember 2005 und im Frühjahr 2006 beobachteten). Für die nahe Zukunft wird es zwei Faktoren für die Entwicklung mobiler Schadprogramme geben: a) die Durchdringung des Marktes mit Smartphones und b) die Möglichkeit, über infizierte mobile Geräte Geld zu „verdienen“.

Prognosen

Die Prognosen für 2007 gehen davon aus, dass sich die Gefahr für mobile Anwender kaum erhöhen wird. In das „industrielle“ Stadium sind die mobilen Viren bislang noch nicht eingetreten und werden dies in den nächsten Jahren wohl auch noch nicht tun.

Die Bedrohung für Mobiltelefone wird proportional zur Marktdurchdringung „kluger“ Telefone (Smartphones) zunehmen. Mit der Zeit wird ihre Zahl zweifelsohne Hunderte Millionen weltweit betragen, und immer neue Funktionen werden es den Menschen ermöglichen, Smartphones genauso zu nutzen wie heute Computer. Unweigerlich wird dies auch die Aufmerksamkeit der Cyberkriminellen wecken und zur steigenden Entwicklung von Malware für Mobiltelefone führen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.