Virologie mobiler Geräte, Teil 4

Einleitung

Seit der Veröffentlichung des Artikels „Virologie mobiler Geräte, Teil 3“ gab es auf diesem Gebiet einige ernstzunehmende Entwicklungen.

Erstens hat sich das Verhältnis der verschiedenen Betriebssysteme für mobile Geräte verändert. Das Betriebssystem Android gewinnt stetig an Popularität und hat Windows Mobile bereits hinter sich gelassen. Die Betriebssysteme iOS und Blackberry haben ihre Marktpräsenz ebenfalls verstärkt. Symbian ist nach wie vor das am weitesten verbreitete Betriebssystem, verliert aber weiterhin an Boden.

Zweitens ist die Liste der Plattformen, für die Schadprogramme registriert werden, länger geworden. Hinzugekommen sind iOS (Betriebssystem für iPhone/iPod Touch/iPad) und Android. Wie von uns erwartet, können die neu aufgetauchten Schädlinge für iOS nur gehackte Smartphones infizieren.

Drittens sind die Schadprogramme und Angriffe insgesamt komplizierter geworden.

Viertens sind die allermeisten der innerhalb des letzten Jahres von uns entdeckten Schadprogramme auf die eine oder andere Art darauf ausgerichtet, dem Anwender Geld zu stehlen.

Familien und Modifikationen. Statistik und Veränderungen

Die Smartphone-Popularität und die steigende Zahl der dazugehörigen Anwendungen zieht eine Zunahme von Schadprogrammen nach sich, mit deren Hilfe Cyberkriminelle versuchen, sich an den Nutzern mobiler Geräte zu bereichern.

Mitte August des Jahres 2009 hatten wir 106 Familien mit 514 Schadprogramm-Modifikationen mobiler Geräte registriert. Gegen Ende des Jahres 2010 waren diese Zahlen auf 153 Familien und über 1.000 Modifikationen angestiegen. Das bedeutet, dass letztes Jahr 65,12 Prozent mehr neue Schädlinge für mobile Geräte entdeckt wurden als noch im Jahr 2009 und sich deren Zahl innerhalb von 17 Monaten praktisch verdoppelt hat.

Nach den Ergebnissen des Jahres 2010 ergab sich also die folgende Situation:

Plattform Anzahl der Familien Zahl der Modifikationen
J2ME 45 613
Symbian 74 311
Python 5 60
Windows Mobile 16 54
AndroidOS 7 15
Sgold 3 4
MSIL 2 4
IphoneOS 1 2

Anzahl der Familien und Modifikationen nach Plattformen

Aus diesen Daten lässt sich folgendes Diagramm erstellen:


Verteilung der Modifikationen entdeckter Objekte nach Plattformen

Die Grafik zeigt deutlich, dass Cyberkriminelle J2ME-Trojaner wie am Fließband produziert haben: Mengenmäßig überholten die Modifikationen der J2ME-Schädlinge die Schadprogramme für Symbian. Wir weisen darauf hin, dass schädliche Java-Anwendungen nicht nur eine Bedrohung für Smartphones sind, sondern praktisch für jedes gewöhnliche Mobiltelefon. Diese Schadprogramme versuchen in den meisten Fällen, Kurznachrichten an eine Kurzwahlnummer zu senden.


Zunahme der Zahl bekannter Modifikationen (2004 bis 2010)


Dynamik des Erscheinens neuer Modifikationen nach Monaten (2004-2010)

Die nachfolgende Liste führt alle Schadprogramme für mobile Geräte sortiert nach Familien auf, die zwischen August 2009 und Dezember 2010 erstmals aufgetreten sind:

Familie Erkennungsmonat Plattform
Trojan-SMS.Kipla Aug. 09 J2ME
Trojan-SMS.Jifake Aug. 09 J2ME
Trojan-SMS.Vkofk Sep. 09 J2ME
Trojan-SMS.Cyppy Sep. 09 WinCE
Trojan-SMS.Lopsoy Okt. 09 Symbian
Trojan-SMS.BadAssist Nov. 09 Symbian
Net-Worm.Ike Nov. 09 IphoneOS
Trojan-SMS.VScreener Nov. 09 J2ME
Trojan-SMS.Levar Nov. 09 WinCE
Trojan-SMS.Druleg Dez. 09 J2ME
not-a-virus:Monitor.Flesp Dez. 09 Symbian
not-a-virus:Monitor.Dadsey Dez. 09 Symbian
Trojan-SMS.Sejweek Dez. 09 WinCE
Trojan-SMS.Luanch Feb. 10 WinCE
Trojan-Spy.Cripper Feb. 10 WinCE
Trojan-SMS.Picong März 10 J2ME
Worm.Megoro März 10 Symbian
Trojan.Terdial April 10 WinCE
not-a-virus:Montior.Mobspy April 10 WinCE
Trojan-SMS.Smmer April 10 J2ME
Trojan-Spy.Mijispy April 10 J2ME
Trojan-PSW.Vkonpass Mai 10 J2ME
Trojan-SMS.Slishow Mai 10 J2ME
not-a-virus:Monitor.Bond006 Juni 10 WinCE
not-a-virus:Monitor.Bond006 Juni 10 Symbian
Trojan-PSW.Facekob Juni 10 Python
not-a-virus:Monitor.RedGoldEye Juni 10 WinCE
SMS-Flooder.Spammo Juni 10 J2ME
Trojan-SMS.Zonagal Juni 10 J2ME
Trojan-PSW.Liamgpass Juni 10 Python
Worm.Sagasi Juni 10 Symbian
Trojan-Spy.Reples Juli 10 Symbian
Trojan-SMS.FakePlayer Aug. 10 AndroidOS
not-a-virus:Monitor.Tapsnake Aug. 10 AndroidOS
Trojan-SMS.Abcmag Aug. 10 WinCE
Trojan-Spy.Zbot Sep. 10 Symbian
Worm.Nmplug Nov. 10 Symbian
Trojan-Spy.GPSpy Nov. 10 AndroidOS
Trojan-Spy.Fakeview Nov. 10 AndroidOS
Trojan-SMS.Pocha Nov. 10 WinCE
Trojan-PSW.FakeLogin Dez. 10 J2ME
Trojan-Downloader.Minplay Dez. 10 Symbian
not-a-virus:Monitor.Replicator Dez. 10 AndroidOS

Insgesamt 46 neue Familien von Schadprogrammen für mobile Geräte wurden entdeckt

Schlüsselt man die Zahl der neuen Schadprogramm-Modifikationen und -Familien, die zwischen August 2009 und Dezember 2010 entdeckt wurden, nach Plattformen auf, ergibt sich folgende Verteilung:

Plattform Zahl neuer Familien Zahl neuer Modifikationen
J2ME 13 431
Symbian 12 58
Python 2 15
Windows Mobile 11 28
AndroidOS 7 15
IphoneOS 1 2
Insgesamt: 46 549

Die neuesten Entwicklungen

Methoden, mobile Schädlinge zu Geld zu machen

In der Welt der mobilen Malware dominieren nach wie vor Programme, die SMS an kostenpflichtige Kurzwahlnummern senden. Der Einsatz von SMS-Trojanern ist und bleibt für Cyberkriminelle die einfachste und effektivste Methode, Geld abzugreifen. Der Grund dafür ist denkbar einfach: Jedes mobile Gerät wie ein Smartphone oder ein gewöhnliches Mobiltelefon ist direkt ans Anwenderkonto gekoppelt. Und genau diesen direkten Zugriff nutzen Kriminelle aktiv zu ihrem Vorteil aus.

Mit einem dieser SMS-Trojaner haben sich auch die Inhaber von Porno-Webseiten bewaffnet: Von Smartphones aus, die mit Trojan-SMS.AndroidOS.FakePlayer infiziert sind, versendete der Schädling gleich vier Kurznachrichten an eine Nummer, die zur Bezahlung des Zugriffs auf pornografische Inhalte verwendet wird.

Im Jahr 2010 war der Versand kostenpflichtiger SMS allerdings nicht mehr die einzige Methode für Virenschreiber, die mobile Schädlinge für verschiedene Plattformen entwickeln, illegal an Geld zu gelangen.

Seinerzeit wurde erstmals in der 6-jährigen Geschichte der mobilen Malware ein Trojaner entdeckt (Trojan.WinCE.Terdial.a), der eine internationale kostenpflichtige Nummer anruft.

Ein iPhone-Wurm (Net-Worm.IphoneOS.Ike.b) wurde von Cyberkriminellen für zielgerichtete Phishing-Attacken auf Kunden einer holländischen Bank eingesetzt. Beim Versuch, mit einem hiervon befallenen Smartphone die Bank-Webseite zu besuchen, wurden die Anwender auf eine Phishing-Seite umgeleitet.

Neu war auch ein Schadprogramm (Trojan-Spy.SymbOS.Zbot.a), mit dessen Hilfe Cyberkriminelle begannen, die SMS-Authentifizierung von Online-Banking-Kunden zu umgehen. Dieser mobile Trojaner wurde bei einer komplizierten Attacke zusammen mit dem gefährlichen Schädling Zbot (ZeuS) eingesetzt.

Genaueres über diese und andere Schadprogramme erfahren Sie im nächsten Kapitel.

Technologien

Seit der Veröffentlichung des letzten Berichts sind bei mobilen Bedrohungen keine neuen Technologien hinzugekommen. Allerdings setzen neue Schädlinge die bereits bekannten Technologien effektiver ein und sind so weitaus gefährlicher.

Die Schadprogramme interagieren immer häufiger mit entfernten Servern der Cyberkriminellen. Cyberkriminelle sind jetzt in der Lage,

  • schnell in den Besitz der Anwenderdaten zu gelangen,
  • bdie Funktionsparameter der Malware zu aktualisieren
  • und infizierte mobile Geräte an Botnetze anzuschließen.

Das bedeutet, dass die Attacken seitens mobiler Schädlinge ein völlig neues Niveau erreicht haben.

Mobile Bedrohungen in freier Wildbahn

Im Folgenden geben wir einen Überblick über die wichtigsten Schadprogramme für verschiedene Plattformen, die zwischen August 2009 und Dezember 2010 entdeckt wurden.

Symbian

Worm.SymbOS.Yxe

Zu Beginn der zweiten Jahreshälfte 2009 wurde eine neue und damit die insgesamt vierte Modifikation des Wurms Worm.SymbOS.Yxe entdeckt.

Zur Erinnerung: Der Anfang 2009 erstmals in Erscheinung getretene Yxe war das erste Schadprogramm für Smartphones unter der Symbian S60 3rd Edition. Dieser Schädling stach neben der Selbstverbreitung via SMS und dem Sammeln verschiedener Informationen über das Telefon und dessen Besitzer durch eine weitere Besonderheit hervor: Alle seine Modifikationen verfügten über eine digitale Signatur von Symbian und funktionierten praktisch auf allen Smartphones unter Symbian S60 3rd Edition.

Die vierte Modifikation des Wurms, Yxe.d, verschickte nicht nur SMS, sondern aktualisierte auch SMS-Schablonen, indem er sich mit einem entfernten Server verband. Yxe.d zeigte, dass mobile Schadprogramme in der Lage sind, mit entfernten Servern der Cyberkriminellen zusammenzuarbeiten und von ihnen Updates und Befehle zu entgegenzunehmen – das alles leider durchaus erfolgreich. Und das bedeutet, dass es möglich ist, mobile Botnetze aufzubauen!

Übrigens trat das erste Schadprogramm für mobile Geräte, das Befehle von Cyberkriminellen empfing (Backdoor.WinCE.Brador), bereits im August 2004 auf den Plan. Allerdings stellte es zu diesem Zeitpunkt keine ernsthafte Bedrohung dar, da Smartphones nicht ununterbrochen mit dem Internet verbunden sein konnten. Dagegen sind heutzutage drahtlose Technologien weit verbreitet, und das mobile Internet wesentlich billiger geworden. Somit steigt die Wahrscheinlichkeit, dass Schadprogramme auftauchen, die mit einem entfernten Server eines Cyberkriminellen interagieren, immens,.

Nach Erscheinen der Version .d tat sich einige Zeit nichts Neues. Am Anfang des Jahres 2010 aktualisierten die chinesischen Virenschreiber, die für die Worm.SymbOS.Yxe-Entwicklung verantwortlich sind, ihr Schadprogramm erneut. Im Vergleich zu den vorausgegangenen Modifikationen des Wurms waren die folgenden Funktionen neu: Der Wurm versuchte, sich mit der Webseite eines chinesischen Sozialen Netzwerks zu verbinden und war nun in der Lage, Dateien herunterzuladen.

Die SMS, die der Wurm zu Selbstverbreitungszwecken verschickte, enthielt das Angebot, private Details aus dem Leben der beliebten chinesischen Schauspielerin Zhang Ziyi zu erfahren. Folgte der Anwender dem entsprechenden Link über das mobile Internet, wurde er aufgefordert, die Datei LanPackage.sisx herunterzuladen und zu installieren. Verwendete man hingegen einen gewöhnlichen Browser auf einem Computer, erschien mit einem Klick auf den Link eine Seite mit der Fehlermeldung 404.


Mit anderen Worten überprüfte der entfernte Server den User-Agent, der Informationen über die Anwendungen, das Betriebssystem und die Spracheinstellung enthält. Stellte er fest, dass nicht das mobile Internet verwendet wurde, gab er eine Fehlermeldung aus.

Die neue Funktion Datei-Download funktionierte zum Zeitpunkt der Entdeckung des Wurms problemlos, allerdings waren auf dem entfernten Server der Cyberkriminellen keine Dateien zum Download vorhanden.

Trojan-SMS.SymbOS.Lopsoy

Bis zum Herbst 2009 war Worm.SymbOS.Yxe das einzige Schadprogramm seiner Art mit digitaler Signatur für Geräte unter Symbian S60 3rd Edition. Im Oktober 2009 entdeckte Kaspersky Lab Trojan-SMS.SymbOS.Lopsoy – einen neuen SMS-Trojaner für Smartphones unter Symbian S60 3rd Edition. Auch dieser Trojaner verfügte über eine digitale Signatur von Symbian.


Informationen über die digitale Signatur des Trojaners

Der Trojaner wurde auf verschiedenen Dateihosting-Ressourcen untergebracht, getarnt als zahlreiche mobile Anwendungen und Spiele, unter anderem mit erotischen Inhalten. Gelangte das Schadprogramm auf ein Smartphone,

  • verwendete es Autostart,
  • versteckte sich in der Prozessliste,
  • führte eine Suche nach dem Internet-Zugangspunkt durch, um Verbindung mit dem entfernten Server der Cyberkriminellen aufzunehmen
  • und erhielt, nachdem es sich mit dem Server verbunden hatte, eine Premium-Nummer, an die daraufhin die SMS inklusive Mitteilungstext geschickt wurde.


URL des entfernten Servers der Cyberkriminellen im Body des Trojaners

Im Gegensatz zu primitiven SMS-Trojanern für die Plattform J2ME eröffnet Lopsoy den Cyberkriminellen wesentlich mehr Möglichkeiten. Sobald das Telefon mit diesem Schädling infiziert ist, verbindet es sich ständig mit dem entfernten Server, und die Kriminellen können ihrerseits den SMS-Text und die Nummer, an die sie geschickt wird, laufend ändern.

Das Resultat ist ein weiterer signierter Schädling für Symbian S60 3rd Edition, der in der Lage ist, sich mit einem entfernten Server zu verbinden und von ihm Funktionsparameter zu empfangen.

Trojan-Spy.SymbOS.Zbot

Ende September des Jahres 2010 entdeckten die Experten der Firma S21Sec ein Schadprogramm, das in der Lage ist, eingehende SMS an eine bestimmte Nummer weiterzuleiten – im Prinzip nichts Besonderes. Allerdings stellte sich heraus, dass dieser Schädling erstens mit dem wohl bekannten Trojaner Zbot (ZeuS) in Verbindung steht, und die Kriminellen zweitens nicht an allen Kurznachrichten interessiert waren, sondern nur an jenen, die Identifizierungscodes für Online-Banking-Transaktionen enthielten. Das Schadprogramm wurde von Kaspersky Lab als Trojan-Spy.SymbOS.Zbot.a kategorisiert.

Das Angriffsschema sieht folgendermaßen aus:

  1. Zbot stiehlt von einem infizierten Computer die Online-Banking-Zugangsdaten.
  2. Nachdem sie die Telefonnummer des Opfers herausgefunden haben, versenden die Cyberkriminellen eine SMS mit einem Link zum Schadprogramm an das Smartphone.
  3. Klickt der Anwender auf den schädlichen Link, wird er aufgefordert, eine Anwendung zu installieren. Er kann der Installation zustimmen und damit den Trojaner starten – oder die Installation ablehnen.
  4. Die Online-Betrüger versuchen, eine Online-Banking-Transaktion durchzuführen, die per SMS bestätigt werden muss.
  5. Die Bank schickt eine SMS mit dem Authentifizierungscode an die Telefonnummer des Opfers.
  6. Das Schadprogramm schickt die eingehende Mitteilung an die Telefonnummer der Cyberkriminellen.
  7. Die Kriminellen erhalten den Authentifizierungscode und vollziehen die Transaktion per Online-Banking.

Dieses Schadprogramm war ebenfalls mit einem legalen Zertifikat signiert.

Ein derart komplexes Angriffsschema zeugt davon, dass das Interessensgebiet der Cyberkriminellen sich stetig erweitert. Bis zur Entdeckung dieses Schädlings war die SMS-Authentifizierung einer der zuverlässigsten Schutzmechanismen bei der Durchführung von Bank-Transaktionen im Netz. Nun ist es den Online-Betrügern gelungen, auch diese Schutzebene zu umgehen.

Windows Mobile

Das Betriebssystem Windows Mobile büßt aus den folgenden Gründen immer mehr Marktanteile ein:

  1. Microsoft veröffentlichte Windows Phone – ein neues Betriebssystem für Smartphones – und stellte die Arbeit an Windows Mobile ein.
  2. Die Anzahl neuer Smartphone-Modelle mit vorinstalliertem Windows Mobile nimmt ab.
  3. Das Betriebssystem wurde lange nicht aktualisiert.

Allerdings hatte die sinkende Popularität dieses Betriebssystems keine Auswirkungen auf die Aktivität der Virenautoren.

Trojan-SMS.WinCE.Sejweek

Ende 2009 erschien ein neuer SMS-Trojaner mit der Bezeichnung Trojan-SMS.WinCE.Sejweek für Windows Mobile. In vielerlei Hinsicht ähnelt er dem oben beschriebenen Schädling Lopsoy. Allerdings gibt es auch einige Unterschiede:

Erstens versucht auch Sejweek, sich genau wie Lopsoy mit einem entfernten Server zu verbinden. Ist dieser Versuch erfolgreich, lädt der Trojaner eine XML-Datei herunter, die folgenden Code enthält:


Von Sejweek heruntergeladene XML-Datei

Man sieht, dass die Informationen zwischen einigen Tags verschlüsselt sind. Im Code des Trojaners ist die folgende Tabelle gespeichert, die er zur Dechiffrierung verwendet:


Zur Entschlüsselung verwendete Tabelle

Wenn die Informationen in den Tags und entschlüsselt werden, so nehmen sie folgende Gestalt an:


Entschlüsselte XML-Datei

Wie man aus den Inhalten der Tags und ablesen kann, versendet das Schadprogramm vom infizierten Telefon aus alle elf Minuten kostenpflichtige SMS an die Nummer 1151. Berücksichtigt man zudem, dass der Trojaner die XML-Datei regelmäßig aktualisiert (das heißt: neue Daten zum Versand der SMS herunterlädt), so wird schnell klar, dass er in der Lage ist, ein Telefon sehr schnell unter seine Kontrolle zu bringen.

Allerdings ist dies nicht das einzige Beispiel lukrativer Malware für Windows Mobile.

Trojan.WinCE.Terdial

Im Jahr 2010 wurde der erste Trojaner entdeckt, der kostenpflichtige Nummern anruft. Ende März tauchte auf verschiedenen internationalen Webseiten, die kostenlose Programme für Smartphones unter Windows Mobile zum Download anbieten, das neue Spiel „3D Antiterrorist“ auf. In dem eineinhalb Megabyte großen Archiv befand sich neben dem Spiel auch eine Datei mit der Bezeichnung reg.exe, bei der es sich tatsächlich um das trojanische Programm Trojan.WinCE.Terdial.a handelte, das kostenpflichtige internationale Nummern anruft.

Nach dem Start der Installationsdatei antiterrorist3d.cab wurde das Spiel im Verzeichnis Programme installiert. Gleichzeitig wurde auch die schädliche Datei reg.exe mit einer Größe von 5.632 Byte unter dem Namen smart32.exe in den Systemordner kopiert.

Eine eingehende Analyse des Schadcodes zeigte, dass

  • das Schadprogramm von russischsprachigen Virenautoren entwickelt worden war,
  • der Schädling die Funktion CeRunAppAtTime zum Selbststart nutzt
  • und der Trojaner nach erstmaligem Start einmal im Monat sechs verschiedene Premium-Nummern anruft.


Liste der Nummern, die angerufen werden

Der Schädling ruft folgende Premium-Nummern an:

+882******7 – International Networks
+1767******1 – Dominikanische Republik
+882*******4 – International Networks
+252*******1 – Somalia
+239******1 – São Tomé und Príncipe
+881********3 – Global Mobile Satellite System

Die für diesen Trojaner verantwortlichen Virenschreiber verwendeten für die Verbreitung ihres Machwerks mit dem Spiel Antiterrorist 3D eine recht beliebte legale Software, die von der chinesischen Firma Huike entwickelt worden war. Es ist kein Geheimnis, dass viele Anwender kostenlose oder gehackte Software von verschiedenen Web-Ressourcen beziehen. Und auf eben solchen Ressourcen platzieren Cyberkriminelle als legale Software getarnte Malware. So auch in diesem Fall. Und es ist zu befürchten, dass das nicht das letzte Mal war.

iPhone

Im Fazit unserer Analyse „Virologie mobiler Geräte, Teil 3“ haben wir die Vermutung geäußert, dass eine Infizierung des iPhone nur dann wahrscheinlich ist, wenn der Anwender sein Gerät hackt (also einen so genannten Jailbreak durchführt) und Anwendungen aus inoffiziellen Quellen darauf installiert. Unsere Annahme hat sich bewahrheitet.

Net-Worm.IphoneOS.Ike

Anfang November 2010 wurde der erste Wurm für das iPhone entdeckt. Er erhielt den Namen Net-Worm.IphoneOS.Ike.a. Von einer Infizierung waren jene Anwender bedroht, die auf ihrem iPhone oder iPod Touch einen Jailbreak durchgeführt und das Standard-SSH-Passwort nicht geändert hatten. Der Wurm verbreitete sich, indem er sich diese Besonderheit des Smartphones zunutze machte. Ernsthaften Schaden hat er den Anwendern allerdings nicht zugefügt: Ike ersetzte den Startbildschirm auf dem Smartphone des Anwenders mit einem Bild von Rick Astley, einem Sänger aus den 80er Jahren. Andere Aktivität zeigte dieser Wurm nicht.

Allerdings tauchte schon einige Wochen später ein neuer Wurm für das iPhone auf (Net-Worm.IphoneOS.Ike.b), der Anwenderdaten stahl und den Kriminellen ermöglichte, das infizierte Smartphone aus der Ferne zu steuern. Diese Modifikation griff ebenfalls gehackte iPhones und iPod Touch an, auf denen das Standard-SSH-Passwort nicht geändert worden war.


Von Ike.b ausgenutzte Sicherheitslücke

Im Visier der Betrüger standen insbesondere die Kunden der holländischen Bank ING Direct. Bei dem Versuch, die Webseite der Bank mit einem von diesem Wurm befallenen Smartphone zu besuchen, leitete der Schädling den Anwender auf eine Phishing-Seite. Gab der Bankkunde auf dieser Phishing-Seite seine Daten ein, wurden sie an die Kriminellen weitergeleitet.

Daher handelt es sich bei Ike um einen echten „Geld machenden“ Schädling für gehackte Versionen von iPhone und iPod Touch.

Android

Für die Plattform Android, die einen recht großen Marktanteil besitzt, schienen sich die Virenschreiber kaum zu interessieren. Doch alles änderte sich im August 2010, als das erste Schadprogramm für dieses Betriebssystem entdeckt wurde. Seither erschienen nicht nur neue Modifikationen des ersten Schädlings, sondern auch andere Schadprogramme für Android, die derzeit in sieben Familien zusammengefasst sind.

Trojan-SMS.AndroidOS.FakePlayer

Wie bereits erwähnt, wurde Trojan-SMS.AndroidOS.FakePlayer – das erste Smartphone-Schadprogramm in freier Wildbahn – Anfang August 2010 entdeckt. Über die Verbreitungsart der ersten Modifikation dieses Trojaners lässt sich leider nicht viel Konkretes sagen. Sicher ist nur, dass FakePlayer sich nicht über den offiziellen Android-App-Store verbreitet hat. Wurde ein Smartphone mit diesem schädlichen Programm infiziert, versendete der Trojaner direkt nach seinem Start drei SMS an zwei russische Kurzwahlnummern.

Die zweite Modifikation von Trojan-SMS.AndroidOS.FakePlayer trat Anfang September 2010 in Erscheinung – etwa einen Monat nach der ersten Modifikation. Die Hauptfunktionalität des Schädlings hatte sich praktisch nicht geändert. Mit der Entdeckung der zweiten FakePlayer-Version wurden allerdings einige Aspekte seiner Verbreitungsmethode deutlich. Wie wir wissen, arbeitet das Pornografie-Interesse einiger Anwender den Virenschreibern bei der Schadprogrammverbreitung in die Hände. In der FakePlayer-Geschichte spielte Pornografie ebenfalls eine nicht unwesentliche Rolle.

Im russischen Internet bieten die Inhaber kostenpflichtiger Porno-Webseiten ihren Besuchern die Möglichkeit, schnell für den Zugriff auf ihre Ressourcen zu bezahlen: Der Anwender schickt eine oder mehrere SMS mit einem bestimmten Text an eine Premium-Nummer und nach einiger Zeit erhält der den Zugangscode, den er dann auf der Webseite eingeben muss.

Genau solch eine Zahlungsmitteilung für den Pornografie-Zugriff versendet auch Trojan-SMS.AndroidOS.FakePlayer. Doch nicht nur eine SMS, sondern gleich vier. Und wie gelangt der Trojaner auf die Mobiltelefone der Anwender?

Offensichtlich landen viele Nutzer über Suchsysteme auf bestimmten Porno-Seiten. Die Seiten-Inhaber, die Trojan-SMS.AndroidOS.FakePlayer verwenden, versuchen mittels Suchmaschinenoptimierung (SEO), ihre Webseiten in der Liste beliebter pornografischer Suchergebnisse möglichst weit oben zu platzieren.

Sitzt der Anwender an seinem PC, so entwickeln sich die Ereignisse in etwa folgendermaßen:

Anwender -> Suchsystem -> Pornografie-Anfrage -> pornografische Webseite -> Versand einer SMS -> Erhalt des Zugriffscodes -> Ansehen der Webseiten-Inhalte.

Was passiert, wenn der Anwender mit einem mobilen Gerät arbeitet, beispielsweise einem Smartphone unter dem Betriebssystem Android?

Die ersten drei Glieder der Ereigniskette bleiben unverändert. Aber dann passiert etwas überaus Interessantes. Nachdem der Anwender auf einen von den entsprechenden Webseiten-Inhabern „optimierten“ Link in der Ergebnisliste geklickt hat, wird eine HTTP-Anfrage an einen entfernten Server der Cyberkriminellen weitergeleitet. Diese enthält unter anderem die Zeile User-Agent (Informationen über die Anwendung, das Betriebssystem und die Spracheinstellung).

Auf dem entfernten Server wird wiederum der User-Agent überprüft. Ist der Anwender über einen Computer-Browser auf die Webseite gelangt, wird ihm eine normale Porno-Webseite angezeigt. Ist der Anwender aber mit Hilfe eines mobilen Browsers unter dem Betriebssystem Android auf die Seite gelangt, wird ihm sofort angeboten, die Datei pornoplayer.apk – also Trojan-SMS.AndroidOS.FakePlayer – herunterzuladen.

Die Reihenfolge der Ereignisse sieht folgendermaßen aus:

Anwender -> Suchsystem -> Pornografie-Anfrage -> pornografische Webseite -> Angebot, pornoplayer.apk herunterladen -> Installation der schädlichen Anwendung -> Start des Trojaners -> Versand von vier SMS an kostenpflichtige Kurzwahlnummern -> ein Teil des Geldes für die verschickten Kurznachrichten erhält der Inhaber der Porno-Seite.

Auf diese Weise sichert sich der Porno-Webseiten-Inhaber zusätzliche Einnahmen. Die Sache hat nur einen Haken: Diese Einnahmen sind illegal.

Bei der Analyse der Webseiten, die FakePlayer verbreiten, zeigte sich eine interessante Besonderheit: Die Betrüger verwenden Geotargeting, das die Filterung der Besucher ermöglicht. Die Datei pornoplayer.apk wird nur von der Leine gelassen, wenn der Anwender von einer russischen IP-Adresse aus auf die Seite gelangt ist.

J2ME

Seit unserem Artikel „Virologie mobiler Geräte, Teil 3“ hat sich bei der Plattform J2ME viel getan, denn sie erfreut sich unter Virenschreibern wachsender Beliebtheit. Die überwiegende Mehrheit der Schädlinge für die Plattform J2ME sind SMS-Trojaner. Allerdings hat es keine nennenswerten Veränderungen in ihrer Funktionalität oder ihren Verbreitungsmethoden gegeben. Daher beschäftigen wir uns in diesem Abschnitt nicht mit SMS-Trojanern, sondern betrachten ein Schadprogramm-Beispiel für die Plattform J2ME, das auf Zugangsdaten-Diebstahl spezialisiert ist. Der Diebstahl betrifft Anwender eines russischen Sozialen Netzwerks.

Trojan-PSW.J2ME.Vkonpass.a

Im Mai 2010 erschien ein Schadprogramm, das versuchte, Zugangsdaten für das in Russland überaus beliebte Soziale Netzwerk „VKontakte“ zu stehlen. Der Schädling wurde für die Plattform J2ME entwickelt. Bis zum Erscheinen dieses Trojaners hatten wir es auf dieser Plattform im Wesentlichen mit SMS-Trojanern zu tun und nicht mit trojanischen Programmen, die versuchen, Benutzernamen und Passwörter für ein Soziales Netzwerk zu stehlen.

Der Schädling, den Kaspersky Lab als Trojan-PSW.J2ME.Vkonpass.a kategorisiert, tarnte sich als Zugangsprogramm zum Sozialen Netzwerk VKontakte. Nach dem Start des Trojaners öffnete sich auf dem Bildschirm des mobilen Geräts ein Fenster, in dem der Anwender seinen Benutzernamen und sein Passwort eingeben musste, um so angeblich Zugriff auf seine Startseite zu erhalten.


Gab der Anwender seine Zugangsdaten ein, versuchte das Programm, die eingegebenen Daten über das SMTP-Protokoll an die E-Mail-Adresse der Cyberkriminellen zu schicken. Misslang dieser Versuch, erschien auf dem Bildschirm die Meldung „Verbindungsfehler“. War er erfolgreich, so erschien die Meldung „Fehler 401“.

Was ist zu erwarten?

In diesem Jahr werden sich die mobilen Bedrohungen wie folgt weiterentwickeln:

  1. SMS-Trojaner. Bisher deutet leider nichts darauf hin, dass die Zahl der SMS-Trojaner abnehmen wird. Die Gesetzgebung einiger Länder ist nach wie vor unzureichend. Cyberkriminelle haben somit die Möglichkeit, Kurzwahlnummern absolut anonym zu nutzen.
  2. Zunahme der Android-Bedrohungen. Diese Plattform wird immer populärer, was auch an der Aktivität der Cyberkriminellen nicht spurlos vorbeigehen wird.
  3. Steigende Zahl entdeckter Sicherheitslücken in verschiedenen mobilen Plattformen und mögliche Attacken mit deren Hilfe. Eine dieser Schwachstellen ist eine Sicherheitslücke in iOS, die am 4. August entdeckt wurde (ein Update wurde am 1. August veröffentlicht) und zur Ausführung willkürlichen Codes im System führen könnte. Würde der Anwender versuchen, eine speziell aufgebaute PDF-Datei zu öffnen, könnte das einen Stack-Überlauf und die Ausführung willkürlichen Codes im System mit höchsten Privilegien zur Folge haben. Wurde diese Sicherheitslücke bereits für eine Smartphone-Attacke ausgenutzt? Wir haben darüber keine Kenntnis. Sicher wissen wir nur, dass die Schwachstelle lediglich zur Vereinfachung des iPhone-Jailbreaks genutzt wurde.
  4. Zunahme kommerzieller Spionage-Software. Dieser Software-Typ kann zur Überwachung der Aktivität Dritter genutzt werden, zum Beispiel zur Industriespionage und zum Erhalt geheimer Informationen (beispielsweise Korrespondenz).
  5. Ganz und gar nicht außer Acht lassen sollte man Tablet-PCs, denn genau diese Geräte werden 2011 den Takt angeben. Im Jahr 2010 brachte Apple das iPad auf den Markt, welches dasselbe Betriebssystem verwendet wie das iPhone. Einige Hersteller haben bereits ankündigt, Tablet-PCs herauszubringen, die Android unterstützen. Und RIM startet demnächst den Verkauf seines Geräts mit Blackberry-Unterstützung.
    Solche Geräte haben dem Anwender entschieden mehr zu bieten als gewöhnliche Smartphones: Bearbeitung von Dokumenten, bequemes Surfen im Netz, Wiedergabe von Filmen, Spiele und vieles mehr. Dementsprechend wird ihre Popularität bei den Anwendern zunehmen.

  6. Hinsichtlich der Betriebssysteme wird sich nichts ändern. Im Grunde haben wir es mit an größere Bildschirme angepasste Ausgaben von iOS, Android, BlackberryOS und anderen zu tun. Malware ist es herzlich egal, ob diese Betriebssysteme auf einem Smartphone oder auf einem Tablet-PC laufen.

Noch ein „aber“: Smartphone und Tablet-PC sind aus einem einfachen Grund nicht austauschbar: Mit einem Tablet-PC kann man nicht telefonieren. Daher ist es mehr als wahrscheinlich, dass ein Tablet-PC-Anwender gleichzeitig auch ein Smartphone besitzt. Folglich wird auch die Zahl der potentiellen Angriffsziele steigen, was in der Regel zu einer Zunahme der gegen diese Objekte gerichteten Schadprogramme führt.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.