Virenschutz für mobile Endgeräte

Einleitung

Seit dem Erscheinen der ersten beiden Artikel aus der Reihe „Virenschutz für mobile Endgeräte“ sind fast drei Jahre vergangen. Dieser lange Zeitabstand liegt daran, dass die Entwicklung von Viren für mobile Geräte seitdem fast vollkommen zum Stillstand kam.

Die ersten schädlichen Programme für mobile Geräte erschienen 2004 und bis 2006 nahm ihre Anzahl rasant zu. Dadurch entstand eine große Palette von Handy-Schädlingen, die praktisch identisch sind mit Computer-Schadsoftware: Viren, Würmer, trojanische Pferde, Spyware, Werbeprogramme und Backdoors.

Die technologische Grundlage für einen massiven Angriff auf Smartphones war damit zwar gelegt, doch aufgrund der rasanten Veränderungen auf dem Mobilgeräte-Markt kam es nie zu solchen Attacken. Vor zwei Jahren sah die Lage so aus: Uneingeschränkter Marktführer war die Symbian-Plattform, die Konkurrenz folgte mit weitem Abstand. Die Lage hat sich jedoch komplett geändert: Andere Anbieter von Mobiltelefonen und Betriebssystemen konnten Symbian und Nokia von ihrer Führungsposition verdrängen. Aktuell besitzt Nokia einen Anteil von zirka 45 Prozent im Smartphone-Markt.

Den ersten Schritt im Kampf um Marktanteile unternahm Microsoft mit Windows Mobile. Den Anfang machte der Hersteller mit dem sehr erfolgreichen Windows Mobile 5, das viele namhafte Mobiltelefon-Anbieter unterstützten. Anschließend folgten Version 6 und die Veröffentlichung des Betriebssystem-Quellcodes. Dies hatte zur Folge, dass Windows Mobile heute einen Anteil von 15 Prozent am Smartphone-Weltmarkt besitzt und in einigen Ländern sogar Marktführer ist. Microsoft vergab Lizenzen für Windows Mobile an vier der größten Telefonanbieter, nicht jedoch an den Marktführer Nokia. Derzeit beläuft sich das Absatzvolumen der Windows-Mobile-Smartphones auf mehr als 20 Millionen Geräte pro Jahr.

Auch der Smartphone-Hersteller RIN konnte seine Marktposition entscheidend stärken. Der Hersteller produziert den beliebten Blackberry, der mit einem eigenen Betriebssystem ausgestattet ist. Es muss hervorgehoben werden, dass für diese Plattform bisher kein einziges Schadprogramm entdeckt wurde. Die einzige Ausnahme ist der zu Demonstrationszwecken geschaffene Trojaner BBProxy
(www.praetoriang.net/presentations).

Das größte Aufsehen der letzten Jahre erregte jedoch Apple mit der Markteinführung des iPhone. Mit der eigens entwickelten mobilen Version von MacOS X avancierte das iPhone sehr schnell zu einem der weltweit am meisten verkauften Kommunikationsmittel. Damit konnte Apple sein selbst gestecktes Ziel von 10 Millionen verkauften Geräten bereits Ende 2008 erreichen. Bis heute wurden bereits über 21 Millionen iPhone-Modelle verkauft. Bezieht man in diese Rechnung den iPod Touch (eine Art iPhone ohne Telefonfunktion) mit ein, sind es sogar 37 Millionen Geräte. Es bleibt jedoch ungewiss, welche mobile Plattform nun eigentlich die Wichtigste ist.

Die Situation bei Mobiltelefonen unterscheidet sich grundlegend vom PC-Bereich, der ganz klar von Windows dominiert wird. Und gerade die Popularität des Betriebssystems stellt für die Virenschreiber den wichtigsten Faktor bei der Auswahl des anzugreifenden Objekts dar.

Da es auf dem Markt für mobile Betriebssysteme kein führendes Unternehmen gibt, besteht auch keine Möglichkeit, den Großteil der Geräte gleichzeitig anzugreifen. Das zwingt die Virenschreiber einerseits dazu, ihre Arbeit auf bestimmte Plattformen zu konzentrieren und andererseits müssen sie die Entwicklung von Cross-Plattform-Viren vorantreiben. Was genau den Übeltätern diesbezüglich gelungen ist, zeigt der Artikel im Folgenden.

Familien und Modifikationen – Statistik und Veränderungen

Das im ersten Teil des Berichts vorgestellte Verzeichnis der Mobiltelefon-Schädlinge stammt vom 30. August 2006 und umfasste insgesamt fünf infizierte Plattformen. In den vergangenen drei Jahren kam nur eine attackierte Plattform hinzu. Dabei handelt es sich um S/EGOLD (von Kaspersky Lab als SGold bezeichnet) für Siemens-Telefone. Dieses offene Betriebssystem ermöglicht es dem Nutzer, eigene Anwendungen auf seinem Telefon zu installieren.

Plattform Anzahl
der Virenfamilien
Anzahl
der Modifikationen
Symbian 62 253
J2ME 31 182
WinCE 5 26
Python 3 45
SGold 3 4
MSIL 2 4


Abb. 1: Modifikationen erkannter Schädlinge und ihr Anteil je Plattform

Damit steht fest, dass die Virenschreiber das bereits oben angesprochene Problem der Auswahl ihrer Zielplattform und die Entwicklungsversuche von Cross-Plattform-Viren lösen konnten. Die Übeltäter haben darauf verzichtet, Schadprogramme für bestimmte Plattformen herzustellen und richten ihre Aufmerksamkeit stattdessen auf die Java 2 Micro Edition.

Mittlerweile unterstützen praktisch alle modernen Mobiltelefone und Smartphones Java. Beide sind zudem kompatibel zu Java-Programmen, die aus dem Internet heruntergeladen werden können. Mit ihren Java-Schädlingen haben die Virenschreiber nicht nur die Beschränkung auf eine einzige Plattform überwunden, sondern konnten den Schadensbereich auch beträchtlich ausweiten. Nun waren nicht nur Smartphones bedroht, sondern praktisch alle herkömmlichen Mobiltelefone.

Ende August 2006 gab es 31 Familien und 170 Modifikationen von Schadsoftware für mobile Geräte. Mitte August 2009 registrierte Kaspersky Lab bereits 106 Familien und 514 Modifikationen. Innerhalb von drei Jahren hat sich also die Anzahl der Schädlinge um 202 Prozent erhöht und die Anzahl der Familien stieg um 235 Prozent.


Abb. 2: Anstieg bekannter Viren-Modifikationen (2004 bis 2009)


Abb. 3: Anzahl neuer Modifikationen je Monat (2004 bis 2009)

Die von Kaspersky Lab in diesem langen Zeitraum gefundenen Schädlinge für Mobilgeräte, nach Familien geordnet:

Familie Erfassungs Plattform Kurzbeschreibung
der Schadfunktion
Anzahl
der Modifikationen
Wesber datum J2ME SMS-Versand 1
Acallno Sep. 06 Symbian Datendiebstahl 2
Flerprox Sep. 06 Symbian Änderung der Systemdateien 2
Hidmenu Okt. 06 Symbian Menüausblendung 1
Unlock.a Okt. 06 Symbian Aufheben der Telefonsperre 1
Smarm Okt. 06 J2ME SMS-Versand 10
Mead Jan. 07 Sgold Infizierung von Dateien 2
Mrex Feb. 07 Symbian Änderung der Farbschemata 1
Viver März 07 Symbian SMS-Versand 2
Feak Mai 07 Symbian Verschickt sich an die Kontaktliste mit Link zu sich selbst 1
SHT Mai 07 Symbian Hackerdienstprogramm 1
Konopla Aug. 07 Sgold Fehlfunktion der Einstellungen, modifiziert Themen und Bilder 1
Reboot Aug. 07 Symbian Reset des Geräts 2
Delcon Aug. 07 Symbian Löschen der Kontakte 1
SMSFree Aug. 07 J2ME SMS-Versand 10
Flocker Okt. 07 Python SMS-Versand 44
Deladdr Okt. 07 Sgold Löschen von Dateien auf dem Mobiltelefon (Adressbuch, Anhänge, SMS, Wap-Profil) 1
HatiHati Nov. 07 Symbian Verbreitung über MMC-Speicherkarten, SMS-Versand 1
Fonzi Dez. 07 Symbian Löschen von Dateien 1
Killav Jan. 08 Symbian Löschen von Antiviren-Programmen 3
Beselo Jan. 08 Symbian Verbreitung über Bluetooth und MMS 2
Swapi Jan. 08 J2ME SMS-Versand 44
SrvSender Feb. 08 Symbian Antwortet auf alle eingehenden Nachrichten und Anrufe mit Zufalls-SMS, löscht Nachrichten 1
Kiazh März 08 Symbian Gelderpressung, Löschen aller eingehenden und ausgehenden SMS-Nachrichten 1
InfoJack März 08 WinCE Kopie auf austauschbare Datenspeicher, Datendiebstahl, Download von Software ohne Wissen des Nutzers, Deaktivierung des Virenschutzes 3
Gpiares März 08 Symbian SMS-Versand 2
Kuku Apr. 08 Symbian SMS-Versand 1
SmsSpy Mai 08 Symbian Versand von benutzereigenen Nachrichten an die Nummer in der cfg-Datei 1
Forvir Mai 08 Symbian Erstellt Berichte über Fehler im System und im Mobiltelefon, Vireninstallation 1
Hoaxer Mai 08 J2ME SMS-Versand 6
KillPhone Mai 08 Symbian Das Mobiltelefon lässt sich nach einem Neustart nicht mehr einschalten. 3
Xanel Mai 08 J2ME SMS-Versand 4
SMSi Mai 08 J2ME SMS-Versand 15
Konov Mai 08 J2ME SMS-Versand 14
Kros Mai 08 Symbian Änderung ausgeführter Dateien 1
Blocker Juni 08 Symbian Sperrt einige Funktionen im Betriebssystem 1
Boxer Juni 08 J2ME SMS-Versand 15
Redoc Sep. 08 WinCE SMS-Versand 19
Espaw Sep. 08 J2ME SMS-Versand 7
KaspAV Sep. 08 J2ME Gefälschtes Antivirus-Programm 3
PMCryptic Aug. 08 WinCE Polymorpher Companion-Virus, Wurm (Speicherkarte) 1
MultiNum Okt. 08 Symbian SMS-Versand 1
Razan Okt. 08 J2ME Erstellt einen Fehlerbericht über die Infizierung des Telefons 1
Onro Okt. 08 J2ME SMS-Versand 3
DoctorW Okt. 08 J2ME Gefälschtes Antivirus-Programm 1
SMSSender Nov. 08 J2ME SMS-Versand 1
Sspy Nov. 08 Python Spionage-Programm 1
Tagsa Dez. 08 Symbian SMS-Versand 1
Small Dez. 08 J2ME SMS-Versand 7
Noti Dez. 08 J2ME Mobile Content für SMS 1
Okpon Jan. 09 J2ME SMS-Versand 1
Yxe Jan. 09 Symbian Vervielfältigung über SMS, Datengewinnung 4
CoS Jan. 09 Symbian Hackerdienstprogramm zum Versenden von speziell erzeugten SMS-Nachrichten 2
Kinap Jan. 09 Symbian Änderung der Schriftarten, Icons und Logos 7
Vers Jan. 09 Symbian SMS-Versand 1
Yakki Feb. 09 Symbian Löscht Schriftarten 1
Disabler Feb. 09 Symbian Sperrt SMS, MMS und Anrufe 1
Getas Feb. 09 J2ME Antivirus-Imitat 1
Xef Feb. 09 J2ME SMS-Versand 2
GameSat Feb. 09 J2ME SMS-Versand 1
Rebrew Feb. 09 J2ME SMS-Flooder 1
Mexasa Feb. 09 J2ME SMS-Versand 4
Xavava März 09 J2ME SMS-Versand 3
Kblock März 09 Symbian Blockierung des Telefons 1
Garlag März 09 J2ME SMS-Versand 2
Redrob März 09 J2ME SMS-Versand 4
Fnusob März 09 J2ME SMS-Versand 1
Pornidal März 09 Symbian Wählt gebührenpflichtige Nummern 2
SMSRtap Apr. 08 Symbian Monitoring der SMS, Anrufe usw. 3
Trojan-SMS.Agent Apr. 08 J2ME SMS-Versand 4
Caneo Mai 09 Symbian Monitoring der SMS, Anrufe usw. 2
Crymss Juni 09 J2ME SMS-Versand 1
Smypa Juni 09 Python SMS-Flooder 1
Enoriv Juni 09 Symbian SMS-Versand 1
Smofree Juli 09 J2ME Wählt gebührenpflichtige Nummern 1

Abb. 4: Insgesamt 75 neue Schädlings-Familien gibt es für Mobiltelefone

Zwischen 2006 und 2009 hat sich die Zahl der Schadprogramme für mobile Geräte verdreifacht. Das bedeutet, dass die Wachstumsgeschwindigkeit des ersten Beobachtungs-Zeitraums (2004 bis 2006) gleich geblieben ist.

Was gibt es Neues?

Wozu Schadprogramme für mobile Geräte in der Lage sind, hat Kaspersky Lab bereits vor drei Jahren in folgender Liste zusammengefasst:

  • Verbreitung über Bluetooth und MMS
  • Versand von SMS-Nachrichten
  • Infizierung von Dateien
  • Möglichkeit der Remote-Steuerung von Smartphones
  • Änderung oder Auswechslung von Icons und Systemanwendungen
  • Installation von fehlerhaften oder falschen Schriftarten und Anwendungen
  • Angriff auf den Virenschutz
  • Installation anderer Schadprogramme
  • Blockierung der Speicherkarte
  • Datendiebstahl

Des Weiteren ist in den vergangenen drei Jahren Schadsoftware für mobile Geräte aufgetaucht, die sich einiger neuer Technologien und Verfahren bedient:

  • Verbreitung über Wechseldatenträger (Flash-Cards)
  • Beschädigung der Anwenderdaten
  • Deaktivierung des betriebssystemeigenen Schutzsystems
  • Download anderer Dateien aus dem Internet
  • Anruf gebührenpflichtiger Nummern
  • Polymorphismus

Technologie und Funktionsweise

Relativ viele Schadprogramme für PCs kopieren sich selbst auf Wechseldatenträger oder USB-Sticks. Diese primitive Art der Verbreitung hat sich unglücklicherweise als überaus erfolgreich herausgestellt.

Auch die Virenschreiber, deren Schadsoftware auf mobile Geräte abzielt, folgten diesem Trend und begannen, derartige Funktionen in ihre Machwerke einzubauen. Ein solches Schadprogramm ist zum Beispiel der Wurm Worm.WinCE.InfoJack, der sich auf das Laufwerk E kopiert. Bei Smartphones mit dem Betriebssystem Windows Mobile steht der Buchstabe E für die Speicherkarte des Mobilgeräts.

Abgesehen von der Art sich zu vervielfältigen verfügt der Wurm InfoJack noch über einige andere interessante Besonderheiten. Zuerst schreibt sich das Schadprogramm in den Cab-Installer, wo sich außer einer Kopie des Wurms auch verschiedene reguläre Anwendungen und Spiele befinden. Diese Vorgehensweise dient ganz offensichtlich dazu, die Aktivität des Schadprogramms zu verbergen. Als nächstes schaltet InfoJack die Kontrolle der Anwendungssignatur aus, einen der Schutzmechanismen des Windows-Mobile-Betriebssystems. Dies führt dazu, dass das Betriebssystem bei manueller Installation einer Anwendung ohne Signatur (bei der es sich um Schadsoftware handeln kann) keinen entsprechenden Warnhinweis erzeugt. Verbindet der Anwender das Smartphone anschließend mit dem Internet, versucht der Wurm, weitere schädliche Module herunterzuladen. InfoJack hat also auch Downloadfunktionen. Und als ob das nicht alles schon reichen würde, sendet der Schädling dann auch noch die persönlichen Daten des Smartphone-Besitzers an den Autor des Schadprogramms.

Zusammenfassend haben wir es hier also mit einem Schadprogramm zu tun, das sich selbst vervielfältigt, fremde Dateien aus dem Internet herunterlädt, das Schutzsystem des Betriebssystems deaktiviert und den Anwender ausspioniert. Und das alles auch noch mit ziemlich guter Tarnung.

Auch der Wurm Worm.WinCE.PMCryptic.a kopiert sich auf die Speicherkarte, doch seine Besonderheit liegt darin, dass er der erste polymorphe Wurm und Companion-Virus für Smartphones ist. Glücklicherweise wurde dieser chinesische Wurm nicht „in the wild“ entdeckt und dient nur als Beweis einer möglichen Existenz. Doch alleine die Tatsache, dass solche polymorphen Schadprogramme für Smartphones produziert werden können, verspricht nichts Gutes.

Auch verschiedene primitive Trojaner, die Nutzerdaten beschädigen und zerstören, stellen für Smartphone-Besitzer ein nicht unwesentliches Problem dar. Der Trojaner Trojan.SymbOS.Delcon.a für Smartphones mit Symbian-Betriebssystem ist zum Beispiel nur 676 Bytes groß! Nach dem Start des sis-Archivs überschreibt er die Datei contacts.pdb, die alle Kontakte des Anwenders enthält, mit einer gleichnamigen Datei aus dem infizierten Archiv. Die infizierte Datei contacts.pdb enthält folgenden Text:

“If you have installed this programm you are really stupid man 😀
Series60 is only for professionals… (c)
by KoS. 2006 ))”

„Falls Sie dieses Programm installiert haben, sind Sie wirklich dumm 😀
Series 60 ist nur was für Profis… (c)
KoS. 2006))“

Bevor not-a-virus:Porn-Dialer.SymbOS.Pornidal.a in Erscheinung trat, der weltweit kostenpflichtige Nummern anruft, waren derartige Programme nur bei PCs bekannt. Das Programm not-a-virus:Porn-Dialer.SymbOS.Pornidal.a funktioniert folgendermaßen: Beim Start der sis-Datei durch den Anwender erscheint ein Text mit einer Lizenzvereinbarung. Darin heißt es, dass die Anwendung ausländische kostenpflichtige Telefonnummern anrufen wird, um dadurch vollständigen Zugang zu pornografischen Internetseiten zu erhalten. Die anzuwählenden Nummern stammen aus verschiedenen Ländern auf der ganzen Welt (4 in Europa, 4 in Afrika und eine in Ozeanien).

Die Gefahr bei dieser Art von Programmen besteht darin, dass Kriminelle sie zu Schadsoftware umwandeln und damit illegale Gewinne erzielen können. So lässt sich beispielsweise der in der Anwendung enthaltene Warnhinweis entfernen, der darüber aufklärt, dass gewählte Telefonnummern kostenpflichtig sind. Zudem lesen die meisten Anwender Lizenzvereinbarungen generell nicht aufmerksam genug und stimmen ihnen fast automatisch zu. Damit wissen sie gar nicht genau, welche Funktionen die Anwendung überhaupt besitzt – in diesem Fall das Anwählen kostenpflichtiger Nummern.

Trojaner-SMS: Die größte Bedrohung

Vergleicht man die Funktionen der Schadprogramme aus den vergangenen zwei Jahren mit denen ihrer Vorgänger, so ist die häufigste Funktion der SMS-Versand an teure Premium-Nummern ohne Wissen des Handy-Besitzers. Vor drei Jahren existierten nur zwei dieser Schadprogrammfamilien, heute sind es bereits 32! Rund 35 Prozent aller entdeckten Schadprogramme für Mobilgeräte versenden derartige Kurzmitteilungen. Trojaner-SMS nehmen unter den Mobiltelefon-Schädlingen aktuell den Spitzenplatz ein.

Funktionen

Die Plattform mit den meisten Trojaner-SMS ist Java 2 Micro Edition. Bei den Schädlingen handelt es sich um Crossplattform-Programme. Ist direkt im Telefon (und nicht unbedingt im Smartphone) Java installiert, so kann der Trojaner Trojan-SMS.J2ME in diesem Gerät vollkommen problemlos funktionieren.

Die absolute Mehrheit der J2ME-Trojaner setzt sich aus einem jar-archiv mit mehreren class-Dateien zusammen. Eine davon versendet kostenpflichtige SMS-Nachrichten an Kurzrufnummern, die anderen class-Dateien dienen nur zur Tarnung. Im Archiv befinden sich häufig auch einige Bilder (größtenteils mit erotischem Inhalt) sowie eine manifest-Datei, die in einigen Fällen ebenfalls als Schadprogramm zum SMS-Versand verwendet wird.

Sofort nach Start von Trojan-SMS.J2ME versucht das Schadprogramm, Kurzmitteilungen mit einem bestimmten Text an Kurzrufnummern zu versenden. In diesem Fall warnt die Java-Engine davor, dass die Anwendung eine SMS versenden will. Das macht manche Anwender misstrauisch und sie erteilen keine Erlaubnis zum SMS-Versand. Einige Virenschreiber haben dies jedoch bereits berücksichtigt und tarnen die Aktivitäten ihrer Schadprogramme daher deutlich sorgfältiger, was manchmal auf ziemlich originelle Weise geschieht.

Hat der Benutzer das Schadprogramm Trojan-SMS.J2ME.Swapi.g gestartet, erscheint auf dem Display eine mit Musik untermalte Grußnachricht, die dazu einlädt, ein Bild mit pornografischem Inhalt anzusehen. Dazu soll man die Taste „Ja“ drücken, solange die Musik ertönt. Im jar-Programmarchiv des Schädlings ist sowohl eine PNG-Datei mit einem Bild als auch eine MIDI-Melodie abgelegt. Drückt der Benutzer also eilig die Ja-Taste, so weiß er nicht, dass er damit jedes Mal eine SMS an eine Kurzrufnummer versendet und ein bestimmter Betrag von seinem Konto abgebucht wird. Das geschieht übrigens unabhängig davon, ob der Tastendruck rechtzeitig – also noch während die Musik spielt – erfolgt oder nicht.

Im Folgenden zeigen wir den Text einer der Webseiten, auf der Kriminelle ihre Dienste anbieten, die sich um die Erstellung solcher Schadsoftware drehen und naturgemäß Geld kosten: „Dies ist ein sehr einträgliches Programm, das aus einem Fotoalbum besteht. Wird es gestartet, erscheint kurz ein hübsches Bild und verschwindet dann gleich wieder. Eingeblendet wird stattdessen die Frage: „Wenn Sie mehr Fotos sehen wollen, müssen Sie mindestens 18 Jahre alt sein. Sind Sie 18 Jahre alt?“. Drückt der Benutzer „Ja“, so sendet er eine SMS an eine Kurzrufnummer…“

Die Programme der Familie Trojan-SMS.Python.Flocker sind für die Plattform Python geschrieben und unterscheiden sich in ihrer Struktur und ihren Aufgaben praktisch nicht von den J2ME-Trojanern. Im sis-Archiv gibt es ein in Pyhton verfasstes Basisskript, das Kurznachrichten an Premiumnummern versendet. Hinzu kommen einige Zusatzdateien, die die Hauptfunktion dieses Schadprogramms tarnen sollen.

Zwischen den verschiedenen Modifikationen des Trojaners Flocker gibt es praktisch keine Unterschiede. Sie unterscheiden sich im Grunde nur durch die unterschiedlichen Kurzrufnummern, an die sie die SMS versenden. Die Ähnlichkeit lässt vermuten, dass der in dieser Schadprogrammfamilie verwendete Skript-Quellcode möglicherweise allgemein zugänglich ist. Diese Annahme hat sich tatsächlich bestätigt: In einem öffentlichen Forum fand sich ein Pyhton-Skripttext, der teilweise mit den Skripts der uns bereits bekannten Schadprogramme identisch war. Interessant ist auch die Tatsache, dass dieses zum Download angebotene Skript andere Skripts infizieren kann, die auf dem Telefon gespeichert und in Python verfasst sind.

Verbreitung

In Russland stehen bei Virenschreibern verschiedene SMS-Trojaner ganz hoch im Kurs. Die Verbreitung solcher Schadsoftware über WAP-Portale ist die populärste Methode. Auf den Webseiten werden dem Besucher verschiedene Melodien, Bilder, Spiele und Anwendungen für Mobiltelefone zum Download angeboten. Die überwiegende Mehrheit der Schädlinge tarnt sich als Programme, mit denen man entweder kostenlose SMS verschicken kann oder die einen kostenlosen mobilen Internetzugang bieten. Ein Trojaner kann sich aber auch hinter Anhängen mit erotischem oder pornografischem Inhalt verbergen.

Hier stellt sich nun die Frage: Warum eigentlich ausgerechnet WAP-Seiten? Das liegt daran, dass Russland zu den vier Ländern gehört, in denen das mobile Internet am stärksten genutzt wird. Viele Nutzer besuchen die WAP-Portale, um dort die unterschiedlichsten Inhalte für ihre Mobiltelefone herunterzuladen.

Die meisten mit Schadprogrammen infizierten Webseiten ermöglichen es dem Benutzer, eigene Dateien dort abzulegen. Aufgrund der einfachen oder nicht erforderlichen Registrierung und dem meist kostenfreien Zugang können Kriminelle ihre primitiven Fälschungen so völlig ungehindert in Umlauf bringen. Die Virenschreiber brauchen der Datei nur einen möglichst auffälligen Namen wie free_gprs, sms_kostenlos oder super_porno zu geben, einen verlockenden Kommentar dazu verfassen und warten, bis einer der Besucher sich dazu entschließt, „kostenlos SMS zu versenden“ oder „erotische Fotos anzusehen“.

Nachdem die Betrüger ihre Schadsoftware ins Netz gestellt haben, müssen sie natürlich entsprechende Werbung dafür machen. Dies geschieht meist über massenhaften ICQ-Versand oder ähnlichen Spam in verschiedenen Foren. Warum eigentlich gerade ICQ? Der ICQ-Service mit seinem blitzschnellen Nachrichtenaustausch ist in Russland und den GUS-Ländern sehr populär. Viele Benutzer, die Instant Messaging schätzen, verwenden ICQ-Clients für Mobilgeräte. Für Kriminelle sind solche Personen potentielle Oper.

Die Finanzierungsweise

Kurzmitteilungen sind für Autoren mobiler Schadsoftware praktisch die einzig noch verbleibende Möglichkeit, illegale Gewinne zu erzielen. Bereits Mitte 2007 untersuchten wir im Zusammenhang mit Viver, dem ersten SMS-Trojaner für Symbian, detailliert die damit verbundene Finanzierungsweise. In groben Zügen ist dieses Konzept bis heute aktuell und wird von allen SMS-Trojanern verwendet.

Um illegale Gewinne einzufahren müssen die Betrüger ein entsprechendes Präfix zu einer Kurznummer mieten. Dazu nehmen viele Virenschreiber an so genannten Partnerprogrammen teil. Sie registrieren sich bei der Partnerseite und erhalten dann statt einem vollständigem Präfix die Kombination aus „Präfix + Partner ID“. In diesem Fall wird dann das Geld, das von den Konten der Inhaber infizierter Mobilgeräte verschwindet, unter den Partnerprogramm-Teilnehmern aufgeteilt.

Betrug mit Kurzmitteilungen

Schadprogramme stellen nicht die einzige Bedrohung für Mobiltelefone dar. Unglücklicherweise werden Betrugsversuche mit SMS-Nachrichten bei Kriminellen immer beliebter. Diese Art der Bedrohung ist schon seit längerer Zeit zu einem weltweiten Problem geworden.

So veröffentlichte 2007 das indische Ministerium für Fernmeldewesen eine Mitteilung, dass das SMS-Phishing im Land beunruhigende Ausmaße angenommen habe. In der Mitteilung wurde auch die Frage gestellt, ob es den Telefonanbietern nicht verboten werden sollte, aus dem Ausland über Web-Gateways versendete Kurzmitteilungen weiterzuleiten. In den betrügerischen SMS-Nachrichten wurde der Empfänger dazu aufgefordert, eine bestimmte Nummer anzurufen und „einige wichtige Transaktionsdaten zu bestätigen“. Bei Anruf geriet der Benutzer dann an eine Tonbandaufzeichnung, in der er darum gebeten wurde, seine Daten und andere vertrauliche Informationen anzugeben. Verwendet wurden diese Tonbänder natürlich von Betrügern.

Ähnliche Vorgehensweisen sind nicht nur in Indien, sondern auch in vielen anderen Ländern verbreitet. Die Mobilfunknetzbetreiber beschäftigen sich durchaus mit diesem Problem. So weisen sie ihre Kunden immer wieder auf die Gefahren solcher SMS hin, informieren über Phishing-Angriffe, zeigen Beispiele für Phishing-SMS und geben Ratschläge, wie man sich beim Empfang solcher Kurzmitteilungen verhalten sollte.

In Russland und anderen Ländern verwenden Phishing-Betrüger etwas andere Methoden, die wir im Folgenden näher betrachten:

Variante 1: Die Betrüger versenden eine SMS mit ungefähr folgendem Inhalt: „Hallo. Ich habe ein Problem, das ich gerade nicht ausführlicher darlegen kann. Bitte hinterlege Geld unter dieser Nummer oder unter +79xx-xxx-xx-xx, du bekommst es in kurzer Zeit zurück.“ In diesen Kurzmitteilungen gibt es weder Anrede noch Unterschrift und jeder Benutzer kann sie empfangen.

Ruft der Benutzer dann diese Nummer an, so hört er nachstehendes: „Dieser Anschluss ist vorübergehend nicht erreichbar“. Mancher mag sich dann denken, dass wirklich einer seiner Bekannten, Freunde oder Verwandten in Schwierigkeiten ist und überweist Geld auf das Mobiltelefon des Betrügers.

Variante 2: Ein anderes Prinzip wird bei kostenpflichtigen SMS mit Kurzrufnummer verwendet. Die betrügerischen Kurzmitteilungen sind eher allgemein gehalten, so wie dieser Beispieltext: „Hallo. Sende eine SMS mit folgendem Text *** an die Nummer 3649, und du erhältst einen Bonus von 150 Rubel auf dein Konto! Die SMS ist kostenfrei, ich habe nachgesehen und bei mir funktioniert es!“ Oder: „Hallo! Ihre Nummer hat gewonnen! Damit Sie ihren Preis in Empfang nehmen können, senden Sie eine SMS mit folgendem Text *** an die Nummer 1171. Diese SMS kostet Sie 3 Rubel.“

Einen solchen Angriff kennzeichnen folgende Merkmale:

  1. Die Betrüger verwenden die teuersten Kurzwahlnummern.
  2. Die meisten Kurzmitteilungen versprechen dem Benutzer einen nur kurze Zeit gültigen „Bonus“ oder „Gewinn“.
  3. Solche SMS enthalten weder Anrede noch Unterschrift.

Diese Kurzmitteilungen landen durchaus nicht nur bei Benutzern von Mobiltelefonen, sondern auch bei ICQ-Anwendern. Darüber hinaus finden sich derartige Nachrichten auch häufig im E-Mail-Posteingang oder stehen als Benachrichtigung auf Internetseiten von Web-Communities.

Sicherheitslücken

Zu Beginn des Jahres 2009 wurde eine Sicherheitslücke bei Smartphones entdeckt, die folgende Versionen des Betriebssystems Symbian verwenden:

  1. S60 2nd edition, Feature Pack 2
  2. S60 2nd edition, Feature Pack 3
  3. S60 3rd edition
  4. S60 3rd edition, Feature Pack 1

An ein Mobiltelefon mit einem dieser Betriebssysteme wird eine präparierte Kurzmitteilung versendet. Nach diesem Angriff kann das Telefon weder eingehende SMS/MMS empfangen noch diese absenden. Wichtig dabei ist, dass eine solche Schad-SMS nicht in der Liste der eingegangenen Kurzmitteilungen steht. Das Exploit hinterlässt auch keine anderen sichtbaren Spuren, weswegen man es auch „Curse of Silence“ nennt, den „Fluch des Schweigens“.

Zwar können keine SMS mehr empfangen oder gesendet werden, doch ansonsten funktioniert das Smartphone noch ganz normal. Nach einer gewissen Zeit merkt der Benutzer dann jedoch, dass irgendetwas mit seinem Telefon nicht stimmt. Leider lässt sich das Sende- und Empfangsproblem weder durch einen Neustart lösen noch durch löschen der Liste der eingegangenen und ausgegangenen Mitteilungen. Nur ein Hardreset des Smartphones kann Abhilfe schaffen.

Aktuelle mobile Bedrohungen

In den vorangehenden Berichten zum „Virenschutz für mobile Endgeräte“ haben wir eine Statistik über die weltweite Verbreitung von Bluetooth- und MMS-Würmern veröffentlicht. Cabir und ComWar gehören zu den am weitesten verbreiteten mobilen Bedrohungen, denn beide Würmer wurden in mehr als 30 Ländern entdeckt. Die größte Attacke fand im Frühling 2007 in Spanien statt, wo mehr als 115.000 Geräte mit einer ComWar-Variante infiziert wurden.

Die erhöhte Aufmerksamkeit der Mobilfunkanbieter diesen Würmern gegenüber und der Einsatz von Tools zur Virenkontrolle des MMS-Verkehrs konnte die Weiterverbreitung dieser Schädlinge stoppen. Andere Gründe für das Verschwinden dieser Epidemien in bestimmten Teilen der Welt sind in der Entwicklung und Verbreitung von Antiviren-Produkten für Mobiltelefone zu suchen. Passende Tools wurden bereits ab Werk auf den Geräten installiert, die Telefone starten nur noch signierte Anwendungen und allmählich verschwinden auch diejenigen Mobiltelefone, auf denen Cabir und ComWar laufen.

In den vergangenen drei Jahren ist mindestens noch ein Wurm für mobile Geräte aufgetaucht, der sich in einigen europäischen Ländern ausbreiten konnte: Ende Dezember 2007 nahm Kaspersky Lab einen neuen Klon des Schädlings ComWar in seine Virusdatenbanken auf, dieses Mal in der Variante y. Der neue Typus erschien im Januar 2008 im Mobilfunkverkehr eines der größten europäischen Mobilfunkanbieter und wurde daher etwas genauer unter die Lupe genommen. Die vom finnischen Unternehmen F-Secure durchgeführte Untersuchung ergab, dass der Wurm einer völlig neuen Familie angehört, die nichts mit dem drei Jahre zuvor in Russland erstellten ComWar gemein hat.

Die Wirkungsweise des Worm.SymbOS.Beselo.a getauften Wurms (kurz darauf wurde noch die Variante Beselo.b entdeckt) ist ComWar sehr ähnlich und klassisch für Würmer dieses Typs. Der Schädling verbreitet sich selbst durch verschicken infizierter SIS-Dateien via MMS oder Bluetooth. Wird er auf dem angegriffenen Gerät gestartet, beginnt der Wurm damit, sich an die im Adressbuch des Smartphones gespeicherten Nummern sowie an alle weiteren über Bluetooth zugänglichen Geräte zu versenden.

Die Verbreitung des Beselo-Wurms konnte glücklicherweise schnell aufgehalten werden. Seitdem wurden in Europa bei mobilen Geräten keine Würmer mehr entdeckt. Nun kommt allerdings Asien mit China als Heimatland der meisten aktuellen Computerviren ins Spiel.

Worm.WinCE.InfoJack

Ebenfalls Anfang 2008 erschienen Meldungen über ein unbekanntes Programm, das Windows-Mobile-Geräte infizierte. Es stellte sich heraus, dass es sich dabei um den schon in diesem Bericht erwähnten Trojaner InfoJack.a handelte.

Der Schädling verbreitete sich über eine chinesische Internetseite, die verschiedene legale Programme zum Download anbot. InfoJack.a klinkte sich in Distributionspakete für mobile Geräte ein, darunter zum Beispiel den Client für Google Maps oder Spiele. Der Inhaber der Seite erklärte, dass er mit dieser Aktion keine kriminellen Ziele verfolge, sondern anhand der Besucherdaten nur seinen Service verbessern und eine Marktanalyse für mobile Anwendungen durchführen wolle.

Nach einigen Tagen wurde die Seite von Netz genommen, wahrscheinlich durch Ermittlungen der chinesischen Polizei. Seitdem wurden Anwender, die Online-Games auf dem PC spielen, zur Hauptzielscheibe der chinesischen Hacker. Das Beispiel mit InfoJack zeigt, dass es in China leicht ist, Massenepidemien auszulösen und mobile Viren zu produzieren. Der Trojaner für Windows Mobile trat erstmals in China auf. Möglicherweise verfolgte der Autor dieses Wurms tatsächlich keine kriminellen Ziele, der Grundstein war jedoch gelegt.

Worm.SymbOS.Yxe

Ein Jahr später, im Januar 2009, entdeckte Kaspersky Lab ein neues Schadprogramm für Symbian-Mobiltelefone und in der Tat war dieser Wurm überaus bemerkenswert. Worm.SymbOS.Yxe war nach langer Zeit der erste Schädling aus einer neuen Familie von Symbian-Würmern. Anders als seine Vorgänger verbreitete sich der Wurm nicht über Bluetooth oder MMS, sondern über Kurznachrichten.

Der Wurm versendet SMS-Nachrichten mit frivolem Inhalt samt einem Link zu sich selbst an die gesamte Kontaktliste des infizierten Telefons (http://www*****.com/game). Der Link führte zum Symbian-Installer mit zwei Dateien sowie einer exe-Datei und einem rsc-Hilfsfile. Willigt der Benutzer ein, die Anwendung zu installieren, beginnt der Wurm nach einiger Zeit mit dem Versand von SMS-Nachrichten an die Kontaktliste des infizierten Telefons und generiert auf diese Weise einen schadbringenden SMS-Verkehr.

Allem Anschein nach zog insbesondere der Wurm Worm.SymbOS.Yxe in China eine rege Berichterstattung in den Web-Medien nach sich und wurde intensiv in chinesischen Foren diskutiert, wo sich viele Anwender über sonderbare SMS-Nachrichten beklagten. Bei den Nachrichten handelte es sich einerseits um Kurznachrichten mit pornografischem Inhalt und einem unbekannten Link, andererseits wurden auch SMS-Nachrichten ohne Einwilligung der Anwender an Nummern aus der Kontaktliste verschickt – als Folge verschwand Geld von ihren Mobiltelefonkonten.

Dieser Wurm fiel auch durch die Besonderheit auf, dass er für Smartphones mit dem Betriebssystem Symbian S60 3rd Edition geschaffen wurde und mit einem legalen Zertifikat signiert war. Dadurch kann sich der Wurm problemlos auf praktisch allen Smartphones mit diesem Betriebssystem installieren.


Abb. 5: Zertifikatsinformationen des Wurms Worm.SymbOS.Yxe

Besonders interessant ist, dass das Zertifikat laut Signatur zehn Jahre gültig ist. Kaspersky Lab konnte ermitteln, dass das Schadprogramm ein Verfahren zur automatischen Signaturvergabe durchlaufen hatte.

Trojan-SMS.Python.Flocker

Im Januar 2009 gab es im Bereich Schadsoftware für mobile Geräte viel Neues: Abgesehen von dem oben angesprochenen Wurm Yxe und dem Exploit Curse of Silence für Smartphones mit Symbian-Betriebssystem entdeckten wir noch einige neue Versionen von Trojan-SMS.Python.Flocker (ab-af).


Abb. 6: Eine der Modifikationen von Trojan-SMS.Python.Flocker

Welche Besonderheiten weisen die sechs neuen Modifikationen dieser Familie auf? Bevor diese in Erscheinung traten, stammten alle von uns registrierten Schadprogramme, die SMS-Trojaner versenden, aus dem postsowjetischen Staatsgebiet. Die Kurzmitteilungen wurden an Nummern russischer Mobilfunkanbieter versandt.

Alle neuen Modifikationen des Trojaners Flocker verschickten eine SMS an die Kurzrufnummer 151, die in Russland nicht registriert ist. Außerdem waren uns bisher noch nie dreistellige Kurzrufnummern begegnet. Auch der Nachrichtentext wies Besonderheiten auf: „TP <12 Ziffern> <4 oder 5 Ziffern>“.

Wir haben hier also einige Schadprogramme, die Kurzmitteilungen an ein und dieselbe Kurzrufnummer versenden und alle einen ganz ähnlichen Text haben. Wie immer stellt sich da die Frage: Wohin ist das Geld verschwunden?

Lange vor der Entdeckung der neuen Flocker-Versionen kündigte ein indonesischer Mobilfunkanbieter per Pressemitteilung an, Inhaber bestimmter Sim-Karten hätten nun die Möglichkeit, Geld von ihrem Mobiltelefonkonto auf das Konto von Verwandten, Freunden oder Bekannten zu überweisen. Dazu müsste der Empfänger lediglich dieselbe Sim-Karte besitzen.

Um das Angebot zu nutzen, mussten Anwender eine SMS an die Kurznummer 151 mit folgendem Text senden: „TP <Überweisungsbetrag in Rupien“. Betrüger missbrauchten dieses Angebot. Der Trojaner russischer Herkunft wurde so modifiziert, dass er in den Netzen indonesischer Mobilfunkanbieter läuft und sich über indonesische Mobiltelefone verbreitet.

Alle oben beschriebenen Fälle zeigen, dass die mobilen Bedrohungen weltweit auf dem Vormarsch sind. Allerdings gibt es einen wichtigen Trend: Statt globaler Epidemien durch Würmer beobachten wir eher örtliche begrenzte Infektionen, von denen die Geräte der Bewohner eines bestimmten Landes oder Gebiets betroffen sind. Dies deckt sich mit der aktuellen Situation bei Computerviren. Russland, China, Indonesien und die westeuropäischen Länder haben aktuell die größten Probleme mit mobilen Viren.

Zusammenfassung

Smartphones finden in immer mehr Bereichen Verwendung, zum Beispiel im Arbeitsleben, für den Zugang zum Internet und zu Bankkonten sowie zur Bezahlung von Waren und Dienstleistungen. Das zieht allerdings eine immer größer werdende Zahl von Betrügern an, die daraus finanziellen Profit schlagen wollen.

Moderne Schadsoftware kann viele Schäden verursachen, indem sie beispielsweise auf komplette Adresslisten oder andere Daten zugreift und diese verschickt. Außerdem können die Schädlinge mobile Geräte vollständig sperren, Betrügern einen Remote-Zugriff verschaffen oder SMS und MMS versenden. In Unternehmen werden Smartphones gerne dann verwendet, wenn Mitarbeiter auf Dienstreise gehen, ihre Tätigkeit also außerhalb des eigentlichen Arbeitsplatzes erledigen. Ein von Schadsoftware infiziertes Telefon stellt selbst dann ein ernst zu nehmendes Problem dar, wenn es nur außer Betrieb gesetzt ist. Und in den Fällen, in denen sich ein Betrüger Zugang zum Unternehmensnetzwerk oder zu E-Mails verschaffen konnte, hat eben diese Firma ein nicht zu unterschätzendes Sicherheitsproblem.

Die potentielle Bedrohungen durch Virenangriffe sehen für iPhone-Plattformen, die 4 Prozent des Weltmarktes für Mobiltelefone und 20 Prozent des amerikanischen Marktes ausmachen, ganz anders aus als für die Android-Plattformen. Für ein iPhone besteht nur dann eine erhöhte Infektionsgefahr, wenn der Benutzer sein Gerät crackt und eine inoffizielle Anwendung installiert. Android wird diese Thematik wahrscheinlich lockerer handhaben, so dass auch Benutzer ungecrackter Mobiltelefone all die Software verwenden können, die sie möchten.

Es wäre jedoch etwas verfrüht zu sagen, welche Schadprogramme es künftig noch für iPhone und Android geben wird. Unserer Ansicht nach stellen Sicherheitslücken in der verwendeten Software und deren Ausnutzen durch Kriminelle die größte Gefahr für beide Plattformen dar.

Als überaus relevant für die weitere Entwicklung von Schadprogrammen erweist sich der gerade beginnende Kampf um den Markt zwischen Netbook und Smartbook. Diese unterscheiden sich darin, dass das Smartbook auf einer völlig anderen Architektur basiert, die eher einem Mobiltelefon ähnelt. Laut Einschätzung von Spezialisten basieren 98 Prozent der Prozessoren für Mobiltelefone einschließlich des Apple iPhones auf der ARM-Architektur.

Geht es nach den Herstellern, soll das Smartbook die besten Eigenschaften von Netbook und Smartphone in sich vereinen. Vorgesehen ist nicht nur eine hochwertige Tastatur und ein vergleichsweise großes Display. Das Smartbook soll auch sehr leicht werden und eine besonders lange Akkulaufzeit besitzen. Der größte Pluspunkt besteht jedoch darin, dass die Plattform bereits ab Werk Mobilfunknetze unterstützt und der Smartbook-Prozessor Modemfunktionen besitzt. Hierdurch lassen sich die Netzdienste leicht und übersichtlich in die Programmoberfläche integrieren.

Andererseits versucht Intel einen Markt für mobile Geräte mit integriertem Atom-Prozessor zu schaffen. Zum Ende dieses Jahres soll es Atom-Prozessoren als System on Chip (SoC) geben. In der Praxis bedeutet dies, dass die den meisten Programmierern vertraute x86-kompatible Mikroprozessor-Architektur überall integriert werden kann: in Automatikchips, Chips für Kühlschränke, Mikrowellengeräte, Staubsauger, Uhren, Fernseher und Kaffeeautomaten.

All diese Faktoren sowie die zu erwartenden Technologie-Schlachten könnten zu einer völlig neuen Situation führen. Die Smartbooks werden anders als die Smartphones möglicherweise zum bevorzugten Ziel von Viren-Attacken avancieren. Gleichzeitig könnte das Vordringen von x86-Prozessoren in Haushaltsgeräte das potentielle Angriffsfeld für Viren in bisher nicht gekannter Weise ausweiten.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.