Kaspersky Security Bulletin, Januar – Juni 2006. Schadprogramme für mobile Geräte

  1. Entwicklung der Schadprogramme

  2. Situationsanalyse der Malware auf anderen Nicht-Windows-Plattformen

  3. Internet-Attacken

  4. Schadprogramme für mobile Geräte

  5. Spam im ersten Halbjahr 2006

Die Dynamik neuer Schadprogramme

Zu Beginn des Jahres waren die Autoren von Handy-Viren besonders aktiv und veröffentlichten eine ganze Reihe neuer Schadprogramme für Handys. Ihre Entwicklungen fielen auf durch eine Vielfalt der Zielplattformen und Expansionsrichtungen.

Bis Februar/März stieg die Zahl der neuen Schadprogramme für mobile Geräte auf etwa 5 bis 7 pro Woche, zeitweise erschienen sogar bis zu 10 neue Handy-Viren.

Waren es zu Beginn des Jahres ungefähr 150 bekannte Viren für Symbian, so wuchs ihre Zahl zum Sommer auf 300 an. Darüber berichteten mehrere Antivirus-Unternehmen, obwohl die genaue Zahl aufgrund der unterschiedlichen Methoden schwer zu beziffern ist.

Im zweiten Quartal 2006 ließ offensichtlich das Interesse der Cyber-Kriminellen an Handy-Viren nach – sowohl bekannte, als auch neue Familien waren wieder rarer.


Zunahme der Anzahl bekannter Modifikationen mobiler Viren

Die Virusautoren verbessern fortwährend ihr Wissen und Können. Besondere Aufmerksamkeit widmeten sie Methoden, um Antivirus-Programme zu umgehen sowie den Möglichkeiten, PCs bei der Verbindung zum Telefon zu infizieren (so installiert der Trojaner Cardtrap verschiedene Trojaner für Win32-Systeme auf die Speicherkarte des Handys).

Der bekannte Wurm ComWar, der sich im letzten halben Jahr über MMS verbreitete, wurde zum meist verbreiteten Schadcode im MMS-Traffic. Cabir hingegen drehte seine Verbreitungsgeschwindigkeit zurück. Noch im Winter erhielten wir regelmäßig Nachrichten über Cabir-Attacken in der Moskauer U-Bahn (selbst unsere Mitarbeiter waren davon betroffen). Doch jetzt – im Sommer – hat sich das gelegt.

Entwicklungen der ersten Hälfte 2006

Symbian

Für Symbian begann die Epoche der kommerziellen Trojaner-Spione. Im April wurde der erste Spion mit mehreren Funktionen entdeckt, der von seinen Entwicklern für 50 US-Dollar verkauft wurde: Flexispy übernimmt die totale Kontrolle über das infizierte Smartphone und versendet Informationen über getätigte Anrufe und verschickte SMS-Nachrichten an den Übeltäter.

Windows Mobile

Das dem Bekanntheitsgrad nach zweite Betriebssystem für Smarthpones, Windows Mobile, blieb ebenfalls nicht außer Acht: In der ersten Jahreshälfte 2006 verdoppelte sich die Zahl der bekannten Viren für Windows Mobile. Diese Verdoppelung wurde natürlich nur aufgrund der Tatsache erreicht, dass es bislang nur zwei dieser Schädlinge gab (Virus Duts und Backdoor Brador). Die in diesem Jahr entdeckten Viren sind zweifelsohne reine Konzepte und können anderen Virenschreibern als Vorbilder dienen.

Crossplattform-Viren

Der Virus Cxover kann als erster mobiler Crossplattform-Schädling betrachtet werden. Bei seinem ersten Start überprüft er, um welches Betriebssystem es sich handelt, und sucht über ActiveSync zugängliche mobile Geräte und kopiert sich darauf. Nachdem er auf dem Handy oder PocketPC ist, versucht der Wurm den umgekehrten Vorgang – sich auf angeschlossene PCs zu kopieren. Außerdem kann er auf dem mobilen Gerät Anwenderdateien entfernen.

Der Wurm Letum, im April entdeckt, nutzte die Möglichkeiten von .NET – ein Programmier-Umfeld, das sowohl auf PCs als auch auf Windows-Mobile-Geräten funktioniert. Letum ist ein gewöhnlicher E-Mail-Wurm, der sich über den E-Mail-Anhang verbreitet und sich über die Adressbücher des Mail-Clients verschickt.
Damit ist die einst sehr klare Grenze zwischen mobilen und Computerviren fast verwischt! Jetzt können sich die Geräte gegenseitig infizieren und genau das kann in Zukunft ein ernsthaftes Problem werden.

Gewöhnliche Handys – auch eine Zielscheibe für Verbrecher

Der größte Durchbruch wurde jedoch nicht bei den Smartphones erreicht. Erstmalig wurden gewöhnliche Handys, die J2ME nutzen, zur Zielscheibe für Schadprogramme.

Ein solcher Trojaner ist offensichtlich schon längere Zeit in „freier Wildbahn“ unterwegs und es gibt sogar Opfer. Der Trojaner erhielt den Namen Trojan-SMS.J2ME.RedBrowser.a. Nach ihm entdeckten wir eine weitere Modifikation.

An sich stellt das Erscheinen eines Trojaner-Programms für J2ME keine geringere Gefahr dar, als das Erscheinen des ersten Wurms für Smartphones im Juni 2004. Noch ist es aber schwierig, alle potentiellen Gefahren zu bewerten. Allein der Fakt, dass mehr gewöhnliche Handys als Smartphones genutzt werden, und die Möglichkeit der Infektion bereits besteht, lässt uns über einen Viren-Schutz für diese Geräte nachdenken.

Hybridisierung als Methode zur Erstellung neuer Virus-Familien

Die Statistik neuer Virus-Familien im ersten Halbjahr 2006 sieht folgendermaßen aus:

Bezeichnung Datum Betriebssystem Funktion Technologische Basis
Trojan-SMS.J2ME.RedBrowser Februar J2ME J2ME Java, SMS
Worm.MSIL.Cxover März .NET Löscht Dateien, kopiert sich auf andere Geräte File (API), NetWork (API)
Worm.SymbOS.StealWar März Symbian Diebstahl von Daten, Verbreitung über BlueTooth und MMS Bluetooth, MMS, File (API)
Email-Worm.MSIL.Letum März .NET Verbreitung über E-Mail Email, File (API)
Trojan-Spy.SymbOS.Flexispy April Symbian Diebstahl von Daten
Trojan.SymbOS.Rommwar April Symbian Austausch von System-Anwendungen Sicherheitslücke im Betriebssystem
Trojan.SymbOS.Arifat April Symbian
Trojan.SymbOS.Romride Juni Symbian Austausch von System-Anwendungen Sicherheitslücke im Betriebssystem

Zunahme der Anzahl bekannter Familien mobiler Viren

Einer der wichtigsten Faktoren für das Erscheinen neuer Familien von Handy-Viren ist die „Hybridisierung“. Ein charakteristisches Beispiel dafür ist Worm.SymbOS.StealWar. Hier sind zwei schon bekannte Schadprogramme enthalten: Die Spyware Pbstealer und der Wurm ComWar. Der Autor von StealWar vereinte sie in einem Modul, das Daten aus dem Adressbuch stiehlt und sich über MMS versendet. Derartige Mutationen konnte man auch schon früher beobachten: So enthalten beispielsweise viele Modifikationen von Skuller oder SingleJump auch Varianten des Wurms Cabir, was bei den Antivirus-Unternehmen ständige Probleme mit der Klassifikation derartiger „Mutanten“ hervorruft.

Die Ruhe vor dem Sturm?

Wie bereits erwähnt, nahm im zweiten Quartal 2006 die Zahl neuer Viren ab.
Der Industriezweig der Handy-Viren entwickelte sich wie vorhergesehen zwei Jahre lang gleichmäßig. Eine Veränderung dieser Dynamik erfolgte erst vor einigen Monaten, daher können wir noch keine vollwertige Prognose erstellen. Dennoch ist es erforderlich festzustellen, wodurch diese Veränderung hervorgerufen wurde.

Unter den Avantgardisten der neuen Technologien befinden sich immer auch Enthusiasten. Viren für Handys – das ist ein noch wenig entwickeltes Gebiet, dessen Entwicklung auf der gegenwärtigen Etappe vollständig von solchen Enthusiasten abhängig ist. So kann man also annehmen, dass die Verringerung der Aktivität mit dem Erscheinen neuer, schmackhafterer Zielscheiben zusammenhängt. Das können zum Beispiel die zahlreichen Sicherheitslücken in den Programm-Paketen von Microsoft-Office sein, die in letzter Zeit aufgedeckt wurden.

Wie aus der Theorie bekannt, zählen zur Virus-Szene, neben den Enthusiasten noch zwei weitere Gruppen: Cyber-Kriminelle, die Viren schreiben, um sich finanziell zu bereichern, und so genannte Skript-Kiddies, gering qualifizierte Technik- Freaks, die fertige Schablonen zur Erstellung ihrer eigenen Modifikationen schädlicher Programme verwenden, die meist primitiv und bereits abgedroschen sind.

Der Moment, an dem Cyber-Kriminelle zu einer vollwertigen treibenden Kraft im Bereich der Handy-Viren werden, ist noch nicht eingetreten. Gegenwärtig werden massenweise Handys mit mittlerem Schwierigkeitsgrad von Viren-Autoren verwendet – von einfachen Mobiltelefonen bis zu Smartphones. Diese bieten nicht die technischen Möglichkeiten für kommerziell ausgerichtete Viren und haben nicht genügend Speicherplatz für die Speicherung der tatsächlich angreifbaren Daten, die für die Cyber-Kriminellen interessant sein könnten. Und dennoch gibt es bereits die ersten Versuche: Etwa den Trojaner-Spion Flexispy für das Betriebssystem Symbian, der dem Autor die Log-Files von SMS-Nachrichten und Anrufen schickt.

Zudem sind Skript-Kiddies hier nur in dem Maße aktiv, wie sie von den anderen beiden Gruppen der Virenschreiber „gefüttert“ werden.
Diese Ruhe an der Handy-Viren-Front ist sicherlich nur eine zeitweilige Erscheinigung. Die Verkäufe von Smartphones nehmen zu, die Funktionen werden erweitert und folglich ist die Expansion der Virenschreiber in diesen Bereich unumgänglich. Es liegen momentan allerdings nicht genügend objektive Parameter vor, um zu behaupten, dass wir die Ruhe vor dem Sturm beobachten. Das zweite Halbjahr wird es zeigen…

Tendenzen und Prognosen

Uns scheint, dass es in der Entwicklung von Handy-Viren einen wichtigen Schlüsselfaktor geben wird – den Verbreitungsgrad und die höhere Anzahl von Smartphones und Communicators: Sobald die Zahl der „klugen“ Handys die Zahl der PCs annähernd erreicht, werden sich auch die Risiken gleichen.

Forschungen von IDC zufolge, wurden in den ersten drei Monaten 2006 weltweit fast 19 Millionen Smartphones verkauft. Das bedeutet mehr als ein 67-prozentiges Wachstum im Vergleich zum selben Zeitraum des Vorjahres. Die Daten für das zweite Quartal dieses Jahres liegen bis jetzt noch nicht vor, aber es ist offensichtlich, dass die Verkäufe ähnlich hoch sein werden.

Summiert man die Verkäufe der letzten Jahre, so sind derzeit weltweit über 50 Millionen Smartphones im Einsatz. Ungefähr 40 bis 50% davon wurden von Nokia produziert. Das bedeutet, dass alle diese Geräte unter Symbian laufen, der derzeit wichtigsten Plattform für Handy-Viren wie die Würmer Cabir und ComWar.

Schadprogramme mit dem Präfix SymbOS im Namen machen fast 100% des gesamten mobilen Viren-Zoos aus. Im nächsten halben Jahr wird Symbian OS weiterhin die wichtigste Zielscheibe der Übeltäter bleiben.

Es ist nicht ausgeschlossen, dass die Zahl der Smartphones bis 2007 100 Millionen erreicht. Eine derart bedeutende Zahl potentieller Opfer zieht zweifelsohne die Aufmerksamkeit der Virenschreiber und Cyber-Kriminellen auf sich.

Im April dieses Jahres haben wir eine eigene Umfrage zum Thema Verbreitung von Smartphones, ihrer Hersteller und der von ihnen verwendeten Betriebssysteme durchgeführt. Durchgeführt wurde sie auf der InfoSecurity London und die Ergebnisse wurden bereits veröffentlicht. Demnach sind 23% aller Geräte, die das BlueTooth-Protokoll verwenden, Smartphones. Über 80% dieser Smartphones unterstützen die Funktion Object Transfer. Ausgerechnet diese Funktion ist für die Verbreitung von Handy-Viren (etwa die Würmer Cabir und ComWar sowie die Trojaner PbStealer und Skuller) erforderlich. Diese Zahlen richten unsere Aufmerksamkeit ein weiteres Mal auf eines der wichtigsten Probleme der aktuellen Handy-Sicherheit: Auf das BlueTooth-Protokoll.

Jeder Besitzer eines Smartphones mit eingeschaltetem BlueTooth-Modus „sichtbar für alle“ ist potenziell angreifbar. Nicht nur für Attacken durch mobile Würmer, sonder für Hacker-Attacken, die die zahlreichen BlueTooth-Sicherheitslücken verwenden. Aktuell bleibt nach wie vor die Empfehlung für die Anwender, ihre Arbeit mit Bluetooth einzuschränken (Abschalten oder Verwendung im Unsichbarkeits-Modus) und eingehenden MMS-Nachrichten gegenüber verstärkt misstrauisch zu sein.

Auch das zweite Betriebssystem für Smartphones – Windows Mobile – sollte man nicht vergessen. Der Anteil der Windows-Mobile-Geräte auf dem Markt wächst enorm, so dass sich auch das Verhältnis zwischen Symbian- und WinMobile-Viren ändert. Die Entwicklung der Schadprogramme für WinMobile ist einfach – sowohl bei der Datenzugänglichkeit und den Programmier-Mitteln, als auch durch die enge Verbindung mit den gewöhnlichen Windows-Plattformen.

Selbstverständlich stehen auch die Antivirus-Unternehmen den Virus-Autoren nicht nach. Die ständige Zunahme der mobilen Bedrohungen fordert adäquate Lösungen, die dazu in der Lage sind, die Anwender zu schützen. In diesem Jahr haben bereits viele führende Antivirus-Unternehmen neue Programme für Smartphones veröffentlicht: Die Betaversion von Kaspersky Mobile 2.0, die Betaversion der Antiviren-Programme von BitDefender, ESET, die WinMobile-Version von Trend Micro und die Lösung für Provider und Abonnenten von McAfee.

Allmählich wird ein Viren-Schutz auf Handys ein immer wichtigerer Faktor für den Schutz der vertraulichen Daten.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.