Virologie mobiler Geräte, Teil 5

Einleitung

Seit der Veröffentlichung des vierten Teils unserer Reihe „Virologie mobiler Geräte“ ist fast ein Jahr vergangen. Bezüglich der Entwicklung von Bedrohungen für mobile Plattformen machten wir damals einige Vorhersagen für das Jahr 2011. Nun ist es an der Zeit zu prüfen, ob sie sich bewahrheitet haben.

Hier zunächst unsere damaligen Thesen in Kurzform:

  1. Dominanz von SMS-Trojanern
  2. Zunahme der Bedrohungen für Android-Geräte
  3. Steigende Zahl der entdeckten Sicherheitslücken in verschiedenen mobilen Plattformen und möglicherweise Angriffe unter Verwendung dieser Schwachstellen
  4. Zunahme von Spionage-Software

Jetzt, zu Beginn des Jahres 2012, können wir mit Bestimmtheit sagen, dass sich unsere Prognosen leider vollständig erfüllt haben:

  1. SMS-Trojaner wurden konsequent weiterentwickelt
  2. Die Zahl der Bedrohungen für Android-Geräte ist gestiegen, und zwar bedeutend
  3. Cyberkriminelle nutzen verschiedene Sicherheitslücken aus
  4. Spionage-Software ist ein nicht unwesentliches Problem für die Anwender

Unbedingt zu erwähnen ist auch die Tatsache, dass die Vorherrschaft der Schadprogramme für die Plattform J2ME innerhalb kürzester Zeit ihr Ende gefunden hat. Zum großen Teil liegt diese Entwicklung am gestiegenen Interesse der Cyberkriminellen an Android. In Folge der Popularität dieser Plattform unter Virenschreibern tauchte eine Reihe zusätzlicher Probleme auf, die wir im Folgenden beleuchten.

Insgesamt erreichten die Schadprogramme im Jahr 2011 ein neues qualitatives Niveau, das heißt, sie sind komplexer geworden. Bei den mobilen Schädlingen herrschen allerdings nach wie vor die weniger raffinierten Machwerke russischer und chinesischer Virenautoren vor – und diese Situation wird sich auch in der nächsten Zeit kaum ändern.

Diesem Thema und verschiedenen anderen Ereignissen des Jahres 2011 widmet sich der vorliegende fünfte Teil unserer Reihe „Virologie mobiler Geräte“.

Allgemeine Statistik

Zahl der Familien und Modifikationen

Zur Erinnerung: Ende 2010 befanden sich in unserer Sammlung 153 Familien und über 1.000 Modifikationen mobiler Schädlinge. Im Jahr 2010 wurden 65,12 Prozentpunkte mehr neue Schadprogramme für mobile Geräte entdeckt als im Jahr 2009.

Unten stehend folgt eine Aufstellung der Modifikationen und Familien mobiler Schadprograme in der Virendatenbank von Kaspersky Lab, Stand 1. Januar 2012:

Plattform Modifikationen Familien
Android 4139 126
J2ME 1682 63
Symbian 435 111
Windows Mobile 81 23
Others 19 8

Wie stark ist die Zahl der Bedrohungen im Jahr 2011 gestiegen? Im gesamten Jahr 2011 registrierten wir 5.255 neue Modifikationen mobiler Schadprogramme und 178 neue Familien! Dabei stieg die Gesamtzahl der Bedrohungen innerhalb eines Jahres um das 6,4-fache. Allein im letzten Monat des vergangenen Jahres fügten wir unseren Antiviren-Datenbanken mehr schädliche Programme für mobile Geräte hinzu als von 2004 bis 2010.


Anzahl neuer Modifikationen mobiler Schadprogramme pro Monat in den Jahren 2004 bis 2011

Auf dem Diagramm ist gut zu erkennen, dass die Zahl neuer Bedrohungen in der zweiten Hälfte 2011 rasant zugenommen hat. Etwas derartiges ist uns in der gesamten Geschichte mobiler Schädlinge noch nicht untergekommen.

Verteilung nach Typen

Bisher haben wir keine statistischen Daten über die Verteilung der mobilen Schadprogramme nach Typen ins Feld geführt. Die im Jahr 2011 gesammelten Daten erwiesen sich allerdings als überaus interessant.


Verteilung der mobilen Schadprogramme nach Typen im Jahr 2011

Wie bereits oben erwähnt, stieg die Zahl der mobilen Bedrohungen im Jahr 2011 nicht nur rasant an, sondern es gab auch qualitative Veränderungen bei Schädlingen dieser Art. Obwohl unter den entdeckten Programmen nach wie vor primitive SMS-Trojaner dominieren, mit deren Hilfe Cyberkriminelle ohne große Mühe Geld verdienen können, hat sich ihr Anteil von 44,2 Prozent im Jahr 2010 auf 36,6 Prozent im Jahr 2011 verringert.

Auf dem zweiten Platz befinden sich Backdoors. Im Jahr 2010 wurden Programme dieses Typs von Online-Verbrechern praktisch gar nicht eingesetzt. Das Interesse an Backdoors seitens der Virenschreiber hängt mit deren gestiegenem Interesse am Betriebssystem Android zusammen – die überwiegende Mehrheit der entdeckten Backdoors richtet sich gegen Android-Smartphones. Recht häufig treten Backdoors zusammen mit Root-Exploits auf. Bei einer erfolgreichen Infizierung erhalten Online-Gangster die vollständige Kontrolle über das mobile Gerät.

Platz drei belegen Spionage-Programme, die persönliche Daten der Anwender und/oder Daten über das infizierte Gerät stehlen. Unsere Prognose zur Entwicklung von Bedrohungen, die versuchen, alles zu stehlen, hat sich auch im mobilen Bereich als richtig erwiesen: Im Jahr 2011 entwickelten und verbreiteten Virenschreiber aktiv Schadprogramme, die genau für diesen Zweck geeignet sind.

Verteilung nach Plattformen

Wie bereits eingangs erwähnt, ist J2ME bei der Verteilung nach Plattformen nicht mehr der wichtigste Lebensraum von Schadprogrammen für mobile Geräte.


Verteilung der Modifikationen mobiler Schädlinge nach Plattformen im Jahr 2011

Der Grund dafür, dass die Plattform J2ME ihre Führungsposition eingebüßt hat, liegt auf der Hand: Die enorm gestiegene Popularität mobiler Geräte unter dem Betriebssystem Android. Eine ähnliche Entwicklung gab es seinerzeit auch bei der Plattform Symbian. Von 2004 bis 2006 war Symbian einsamer Spitzenreiter unter den mobilen Betriebssystemen und war auch in punkto Popularität unter Virenschreibern führend. Später wurde es allerdings von J2ME verdrängt, da die Schädlinge für diese Plattform eine größere Zahl von mobilen Geräten angreifen konnten. Heute ist Android das beliebteste Betriebssystem für mobile Geräte auf der ganzen Welt, was sich auch in dem Erscheinen und der Entwicklung neuer Bedrohungen widerspiegelt. Nach unterschiedlichen Schätzungen ist das Betriebssystem Android heute auf 40 bis 50 Prozent aller Smartphones installiert.

Ein bedeutender Zuwachs von Bedrohungen für Android wurde im zweiten Halbjahr 2011 registriert. Ungefähr in der Mitte des Sommers überstieg die Zahl der Schadsoftware für Android erstmals die der Schädlinge für Symbian und im Herbst ließ Android diesbezüglich auch die Plattform J2ME hinter sich. Zum Ende des Jahres festigte Android seine Führungsposition und es ist höchst unwahrscheinlich, dass sich daran in nächster Zukunft etwas ändern wird.

Android unter Beschuss

Der explosionsartige Anstieg der Zahl von Schadprogrammen für alle mobilen Plattformen geht in erster Linie auf das Konto der Schädlinge für Android:


Zahl neuer Modifikationen aller mobilen Schadprogramme und Programme für Android nach Monaten im Jahr 2011

Die Grafik zeigt, dass in der zweiten Jahreshälfte, als die Zahl neuer Schadprogramme für mobile Geräte in rasender Geschwindigkeit zu steigen begann, der überwiegende Teil aller monatlich entdeckten Programme auf die Plattform Android entfiel. In absoluten Zahlen sieht das folgendermaßen aus:

Monat Gesamtzahl neuer Modifikationen Zahl neuer Modifikationen für Android
2011-1 27 4
2011-2 93 11
2011-3 139 39
2011-4 102 5
2011-5 175 25
2011-6 301 112
2011-7 298 212
2011-8 313 161
2011-9 680 559
2011-10 879 808
2011-11 1049 1008
2011-12 1199 1179

Alle von uns entdeckten Schadprogramme für Android lassen sich in zwei große Gruppen einteilen:

  • Schädlinge, die Geld oder Informationen stehlen
  • Schädlinge, die die Kontrolle über das Gerät übernehmen


Verteilung der Schadprogramm-Typen für die Plattform Android

Ziel: Diebstahl von Informationen oder Geld

Bereits im Oktober 2011 war ein Drittel aller Schadprogramme für Android auf die eine oder andere Art auf den Diebstahl von persönlichen Informationen vom Gerät des Anwenders ausgerichtet (Kontakte, Anruferlisten, SMS, GPS-Koordinaten, Fotos und sonstiges).

Auf den Diebstahl von Informationen sind im Wesentlichen chinesische Cyberkriminelle spezialisiert. Dabei sind sie in der Regel eher an Informationen über das Gerät interessiert (IMEI und IMSI, Land, die Telefonnummer) als an persönlichen oder vertraulichen Daten seines Eigentümers.

Der Trojaner Nickspy (Trojan-Spy.AndroidOS.Nickspy) bildet eine Ausnahme unter den chinesischen Machwerken. Dieses Schadprogramm kann alle Gespräche eines infizierten Geräts als Audiodateien aufzeichnen und diese Dateien dann an einen Server der Cyberkriminellen senden. Eine der Modifikationen von Nickspy, die als Anwendung des Sozialen Netzwerks Google+ getarnt ist, kann unbemerkt eingehende Anrufe von der Telefonnummer der Cyberkriminellen annehmen, die in der Konfigurationsdatei des Schadprogramms eingetragen ist. Erhält das infizierte Telefon ohne Kenntnis seines Besitzers einen solchen Anruf, so haben die Verbrecher die Möglichkeit, alles mit anzuhören, was in der Nähe des infizierten Gerätes vor sich geht – darunter auch die Gespräche seines Besitzers. Zudem ist der Trojaner an den Texten von Kurzmitteilungen, Anrufdetails und den GPS-Koordinaten des Gerätes interessiert. Alle diese Daten werden ebenfalls an einen Server der Cyberkriminellen gesendet.

Nickspy hat chinesische Wurzeln, der Trojaner Antammi (Trojan-Spy.AndroidOS.Antammi) wurde dagegen von russischsprachigen Virenschreibern entwickelt. Als Tarnung für die schädliche Aktivität des Trojaners Antammi diente eine Anwendung für den Download von Klingeltönen. Der Trojaner ist in der Lage, praktisch alle persönlichen Daten wie Kontakte, das SMS-Archiv, GPS-Koordinaten und Fotos zu stehlen. Daraufhin sendet er den Cyberkriminellen per E-Mail einen Bericht über seine Aktivität und lädt die erbeuteten Daten auf ihren Server.

In diesem Kapitel möchten wir auch an eine andere aufsehenerregende Geschichte erinnern. Mitte November veröffentlichte der Experte und Blogger Trevor Eckhart auf der Grundlage von öffentlich zugänglichen Dokumenten einen Bericht darüber, dass einige Mobilfunkanbieter der USA sowie Smartphone-Hersteller, die ihre Produkte in den Vereinigten Staaten verkaufen, vom Unternehmen CarrierIQ entwickelte Software vorinstallieren. Diese Software sammelt verschiedene Informationen über das Smartphone, seine Funktionen und speichert zudem, welche Tasten der Anwender betätigt und welche Webseiten er aufgerufen hat. Mit anderen Worten sammelt das Programm von CarrierIQ eine Vielzahl persönlicher Daten des Smartphone-Besitzers.

Ermittler und Massenmedien hatten Smartphones unter dem Betriebssystem Android, insbesondere HTC, nun scharf im Visier. Es wurde zudem berichtet, dass Blackberry und Nokia die Software von CarrierIQ unterstützen, allerdings erklärten beide Unternehmen offiziell, dass sie diese Software niemals auf ihren Geräten vorinstalliert hätten. Bei Apple lag der Fall genau umgekehrt. Das Programm von CarrierIQ wurde auf den Geräten vorinstalliert. Seit dem Erscheinen von iOS 5 wird die Software allerdings nicht mehr auf allen Geräten verwendet, sondern nur noch auf dem iPhone 4. Doch im November 2011 war die Software von CarrierIQ nach wie vor selbst in iOS 5 auf dem iPhone 4 installiert, sollte laut Apple mit den nächsten Updates aber entfernt werden.

Nachdem diese Geschichte auch in den Massenmedien Resonanz gefunden hatte, gab die Firma CarrierIQ eine Erklärung heraus. Darin setzte CarrierIQ auseinander, zu welchem Zweck die Software nicht nur Informationen über das Gerät und dessen Arbeitsstatus sammelt (zum Beispiel über den Akku und dessen Ladezustand oder eine vorhandene Wi-Fi-Verbindung), sondern auch Informationen über die betätigten Tasten und besuchten URLs. Wie CarrierIQ versicherte, geschieht dies alles nur, um dem Mobilfunkanbieter Diagnoseinformationen liefern zu können. Mit anderen Worten versendet dieses Programm Daten darüber, dass der Anwender beispielsweise Probleme mit dem Zugriff auf Facebook hat, allerdings keine Informationen über die Inhalte auf Facebook. Außerdem erklärte das Unternehmen, dass die Daten direkt an die Mobilfunkanbieter geschickt werden, die Auftraggeber des Unternehmens sind.

Eine wichtige Frage bleibt bei dieser Geschichte jedoch offen: Warum hat der Anwender praktisch überhaupt keine Möglichkeit, auf diese Software und „die Hilfe beim Sammeln von Diagnoseinformationen“ zu verzichten?

Heutzutage ist das Problem des Schutzes von persönlichen Daten so aktuell wie nie. Entdeckungen wie CarrierIQ heizen das Interesse an diesem Thema nur noch weiter an. Da stellt sich automatisch die Frage, ob die weitere Entwicklung der Ereignisse nicht zum Erscheinen ähnlicher Software führen könnte, die dann auch von anderen Mobilfunkanbietern oder Herstellerfirmen zur Verfügung gestellt wird?

Bei Schadprogrammen, die eingesetzt werden, um dem Anwender Geld zu stehlen, stehen nach wie vor russische Virenschreiber an erster Stelle, die mit der Massenproduktion von SMS-Trojanern für Android begonnen haben. Neue Partnerprogramme treten ebenfalls in Erscheinung, die es ermöglichen, automatisch vielfältige SMS-Trojaner zu generieren und die Sammlungen verschiedener Tools und Methoden zu deren Verbreitung bereitstellen (etwa gefälschte App-Shops, QR-Codes, Skripte, Parken von Domains). Auf dieses Problem werden wir ein wenig später genauer eingehen.

Ziel: Kontrolle über das Gerät

Schädlinge, deren Aufgabe es ist, die Kontrolle über das mobile Gerät zu übernehmen, waren im Jahr 2011 weit verbreitet. Unter den Schadprogrammen für Android liegen Backdoors heute in der Popularität nur noch mit geringem Abstand hinter Spionage-Trojanern.

Chinesische Virenschreiber produzierten Backdoors wie am Fließband. Die Mehrzahl dieser Backdoors enthält Exploits, deren einzige Aufgabe darin besteht, Root-Rechte auf dem Gerät zu erhalten, also Privilegien eines Supernutzers oder maximale Privilegien. Dadurch haben Cyberkriminelle die Möglichkeit, aus der Ferne vollständig auf das gesamte Smartphone zuzugreifen. Mit anderen Worten sind die Online-Verbrecher nach der Infektion und dem erfolgreichen Start des Exploits in der Lage, entfernt praktische jede Aktion mit dem Smartphone durchzuführen.

Gerade Root-Exploits für Android legten den Grundstein zur massenhaften Ausnutzung von Sicherheitslücken in mobilen Betriebssystemen. Größte Beliebtheit erlangten sie unter chinesischen Virenschreibern. Dabei ist die Mehrzahl der verwendeten Exploits schon seit langem bekannt und sie sind für bereits veraltete Versionen des Betriebssystems Android vorgesehen. Da die meisten Nutzer das Betriebssystem jedoch nur selten aktualisieren, gibt es nach wie vor viele potenzielle Opfer für Cyberkriminelle.

Das wohl eindrucksvollste (und bezüglich seiner Funktionalität seriöseste) Beispiel einer Backdoor ist der Anfang 2012 entdeckte IRC-Bot Backdoor.Linux.Foncy. Diese Backdoor befand sich innerhalb eines APK-Droppers (Trojan-Dropper.AndroidOS.Foncy), in dem daneben noch ein Exploit zum Erhalt von Root-Rechten auf dem Smartphone (Exploit.Linux.Lotoor.ac) und ein SMS-Trojaner (Trojan-SMS.AndroidOS.Foncy) enthalten waren.

Der Dropper kopiert das Exploit, den IRC-Bot und den SMS-Trojaner in ein neues Verzeichnis (/data/data/com.android.bot/files) und startet daraufhin das Root-Exploit. Im Falle einer erfolgreichen Ausführung des Exploits startet dieses seinerseits die Backdoor, die zunächst den SMS-Trojaner Foncy im System installiert, über den wir im Kapitel „SMS-Trojaner“ berichten. Die Backdoor muss unbedingt die APK-Datei des SMS-Trojaners installieren und starten, da der Dropper bis dahin einfach den Trojaner ins System kopiert:


Installationsprozedur des SMS-Trojaners Trojan-SMS.AndroidOS.Foncy

Nach dem Start des SMS-Trojaners versucht die Backdoor, sich mit einem entfernten IRC-Server auf dem Kanal #andros zu verbinden, indem er einen willkürlichen Nickname verwendet. Daraufhin kann er beliebige shell-Befehle von diesem Server entgegennehmen und diese auf dem infizierten Gerät ausführen.

Schädliche Software im Android Market

Ein weiterer Anlass zu Kopfschmerzen waren im Jahr 2011 Schadprogramme im offiziellen Android Market. Der erste Fall von Schadsoftware wurde Anfang März 2011 registriert, woraufhin mit beneidenswerter Regelmäßigkeit weitere Schädlinge dort auftauchten. Die Popularität von Android, die Einfachheit der Entwicklung von Software, die Möglichkeit, sie über eine offizielle Quelle zu verbreiten sowie die uneffektive Analyse neuer Anwendungen auf Schädlichkeit spielten Google übel mit. Die Cyberkriminellen haben sich alle diese Faktoren zunutze gemacht. Als Folge davon waren wir mit einer Situation konfrontiert, in der Schädlinge nicht für einige Stunden oder Tage über den Android Market verbreitet wurden, sondern über Wochen und sogar Monate, was zu einer großen Zahl von Infizierungen führte.

SMS-Trojaner

Im Jahr 2011 durchlief das populärste der mobilen Schadprogramme einige Veränderungen in seiner Entwicklung. Erstens waren SMS-Trojaner erstmals nicht mehr ausschließlich ein Problem russischsprachiger Anwender. Zweitens wurden die Attacken auf russische Nutzer wesentlich umfangreicher. Drittens hörte die Plattform J2ME auf, der wichtigste Lebensraum von SMS-Trojanern zu sein.

Im Laufe des ersten Halbjahres 2011 waren die SMS-Trojaner unter den Typen der mobilen Schädlinge weiterhin konkurrenzlos führend. Erst gegen Ende des Jahres wurde der Abstand geringer, was im Wesentlichen der ungewöhnlichen Aktivität chinesischer Virenschreiber zuzuschreiben ist, die Backdoors und Spionage-Trojaner programmieren.

Anfang 2011 wurden viele Anwender von mobilen Geräten mit regulären Spam-Mitteilungen per SMS darüber informiert, dass sie ein MMS-Geschenk von einer gewissen Katja erhalten hätten. Es überraschte überhaupt nicht, dass dem Nutzer vorgeschlagen wurde, dieses Geschenk herunterzuladen, indem er den Link in der Kurzmitteilung aufruft. Es überraschte ebenso wenig, dass die unter dem Link befindliche JAR-Datei in Wirklichkeit ein SMS-Trojaner war. Praktisch in allen von uns registrierten Versendungen handelte es sich um Schadprogramme der Familie Trojan-SMS.J2ME.Smmer. Diese Trojaner sind in ihrer Funktionalität reichlich primitiv, angesichts des Maßstabs der Versendungen und deren Regelmäßigkeit ist es den Cyberkriminellen dennoch gelungen, eine nicht geringe Zahl von mobilen Geräten zu infizieren. Bezüglich des Maßstabs haben diese Versendungen alle vorhergehenden bei weitem übertroffen. Mobiltelefone zehntausender Anwender waren regelmäßig dem Risiko einer Infektion ausgesetzt.

In den Jahren 2008, 2009 und 2010 war J2ME die wichtigste Plattform, für die SMS-Trojaner entwickelt wurden. Im Jahr 2011 vollzog sich ein Wandel und nun werden SMS-Trojaner für die Plattform Android immer beliebter. Im Prinzip unterscheiden sie sich durch nichts von ihren J2ME-Verwandten. Die Tarnmethoden sind ähnlich, wobei es sich im Wesentlichen um eine Imitation legaler Anwendungen wie Opera oder JIMM handelt. Sie werden auch ebenso verbreitet wie J2ME-Trojaner, hauptsächlich mit Hilfe von Partnerprogrammen, wobei sich zumeist ein und dasselbe Partnerprogramm sowohl auf J2ME-Schädlinge als auch auf Schadprogramme für Android spezialisiert.

Bis zum Jahr 2011 griffen SMS-Trojaner in den allermeisten Fällen Anwender aus Russland, der Ukraine und Kasachstan an. Doch im Jahr 2011 begannen auch chinesische Virenautoren aktiv SMS-Trojaner zu entwickeln und zu verbreiten. Allerdings waren Schadprogramme, die ausschließlich über die Funktionalität von SMS-Trojanern verfügten, unter chinesischen Virenschreibern nicht sehr beliebt. Die Funktion, SMS-Mitteilungen an kostenpflichtige Nummern abzuschicken, ist vielmehr eine Zugabe zu den übrigen vielfältigen Schädlingstypen aus China.

Außerdem wurden die ersten Attacken auf Anwender aus Europa und Nordamerika registriert. Unter den Pionieren auf diesem Gebiet war der Trojaner GGTracker, der es auf Anwender in den USA abgesehen hat. Die Anwendung tarnte sich als Tool zur Verringerung des Akkuverbrauchs des Smartphones, registrierte den Nutzer aber in Wahrheit mit Hilfe einer SMS bei einem kostenpflichtigen Dienst.

Ein weiteres Beispiel ist Foncy, eine Familie von SMS-Trojanern. Obwohl die Funktionalität sehr primitiv ist, wurde Foncy zum ersten Schädling, der es auf Anwender aus Westeuropa und Kanada abgesehen hat. Seine letzten Modifikationen attackierten nicht nur Anwender aus westeuropäischen Ländern und Kanada, sondern auch aus den USA, Sierra Leone und Marokko. Dabei weist einiges darauf hin, dass die Autoren dieses Schadprogramms nicht aus Russland stammen.

Der Trojaner Foncy hat zwei charakteristische Besonderheiten. Erstens seine stärkere Internationalität. Der Schädling kann feststellen, zu welchem Land die SIM-Karte eines infizierten Geräts gehört und in Abhängigkeit vom Land das Präfix und die Nummer ändern, an die die SMS gesendet wird.


Unvollständige Liste von Kurzwahlnummern verschiedener Länder im Code des Trojaners Foncy

Zweitens sendet der Trojaner den Cyberkriminellen einen Bericht über die getane Arbeit. In der Regel verschickt der Trojaner ohne Wissen des Anwenders eine SMS an eine Premium-Nummer für die Bezahlung des einen oder anderen Dienstes. Dabei kann es sich zum Beispiel um den Zugriff auf den Inhalt einer Webseite oder ein Archiv handeln oder um die Registrierung für einen Newsletter. Als Antwort geht eine SMS mit der Zahlungsbestätigung ein, die das Schadprogramm vor dem Anwender verbirgt. Foncy leitet den Text solcher Bestätigungen und die Kurznummern, von denen sie stammen, an seine „Herren und Meister“ weiter. Zunächst wurden die Informationen einfach in einer SMS an die Nummer der Cyberkriminellen geschickt. Die späteren Modifikationen des Trojaners luden sie dann bereits direkt auf ihren Server.


Weiterleitungsprozedur bestimmter eingehender Kurznachrichten

Auf diese Weise erhalten die Cyberkriminellen also offensichtlich Informationen über die Zahl der abgeschickten kostenpflichtigen SMS und über die Zahl der mit Foncy infizierten Geräte.

Man-in-the-M(iddle)obile

Die erste Man-in-the-Mobile-Attacke wurde im Jahr 2010 durchgeführt. Wichtige Fortschritte machten derartige Attacken allerdings erst 2011, als Versionen der Schädlinge ZitMo (ZeuS-in-the-Mobile) und SpitMo (SpyEye-in-the-Mobile) unter verschiedenen Plattformen erschienen (ZitMo für Windows Mobile, ZitMo und SpitMo für Android) und die Cyberkriminellen nach und nach die Funktionalität ihrer Schadprogramme erweiterten.

Die Trojaner ZitMo und SpitMo, die mit ZeuS und SpyEye zusammenarbeiten, gehören zu den kompliziertesten mobilen Schädlingen, die in der letzten Zeit entdeckt wurden. Besonderheiten dieser Schadprogramme:

  • Funktion im Duett: Für sich allein genommen sind ZitMo oder SpitMo gewöhnliche Spionageprogramme, die SMS versenden können. Ihre Verwendung in Kombination mit den „klassischen“ Schädlingen ZeuS oder SpyEye ermöglicht es Cyberkriminellen allerdings, den Schutzmechanismus mTAN bei Banktransaktionen außer Kraft zu setzen.
  • Die enge Spezialisierung der Trojaner: Weiterleitung der eingehenden Kurznachrichten mit mTAN, die daraufhin von den Online-Verbrechern zur Bestätigung von Finanztransaktionen genutzt wurden, die von dem gehackten Bankkonto getätigt werden.
  • Plattformübergreifend: Die entdeckten Versionen von ZitMo sind kompatibel mit Symbian, Windows Mobile, Blackberry und Android. SpitMo ist kompatibel mit Symbian und Android.

Zu den wichtigsten Ereignissen zählt sicher auch, dass die Existenz des Schädlings ZitMo für Blackberry bestätigt wurde und dass Versionen von ZitMo und SpitMo für Android erschienen sind. Das Auftauchen von ZitMo und SpitMo für Android ist besonders interessant, da diese überaus populäre Plattform von den Autoren dieser Schadprogramme recht lange außer Acht gelassen wurde.

Künftig werden die Attacken unter Verwendung von ZitMo, SpitMo oder ihrer Funktionalität nach ähnlichen Schadprogrammen weiterlaufen, die auf die eine oder andere Weise auf den Diebstahl von mTAN ausgerichtet sind (und möglicherweise auch auf andere geheime Informationen, die per SMS weitergegeben werden). Allerdings werden derartige Angriffe höchstwahrscheinlich sehr zielgerichtet sein, mit einer geringen Zahl von Opfern.

QR-Codes: die neue Verbreitungsmethode von Schädlingen

QR-Codes werden immer populärer und finden in verschiedensten Arten von Werbung oder auf Webseiten breite Verwendung, da sie einen schnellen und problemlosen Zugriff auf bestimmte Informationen gewährleisten. Daher waren die ersten Attacken mit Hilfe von schädlichen QR-Codes auch keine große Überraschung.

Heute suchen Nutzer von Smartphones häufig mit Hilfe ihres Computers nach Software für ihr mobiles Gerät. Um in diesen Fällen die Software auf das Smartphone zu laden, muss der Anwender die URL der über den Computer gefundenen Webseite manuell in den Browser seines Telefons eingeben. Das ist nicht besonders bequem, daher verfügen Webseiten, die Programme für Smartphones anbieten, in der Regel über QR-Codes.

Viele Schadprogramme für mobile Geräte (insbesondere SMS-Trojaner) werden auf Seiten verbreitet, auf denen die gesamte Software schädlich ist. Auf solchen Seiten verwenden Cyberkriminelle neben direkten Links auf Schädlinge nun auch schädliche QR-Codes, in denen die Links auf dieselbe Schadsoftware verschlüsselt sind.

Als erste versuchten sich russische Hacker an dieser Technologie: Hinter schädlichen QR-Codes verbargen sich SMS-Trojaner für Android und J2ME.


Beispiel eines schädlichen QR-Codes

Heute gehören Attacken mit Hilfe von QR-Codes glücklicherweise noch nicht zum Alltag. Doch eine Technologie, die unter Nutzern an Popularität gewinnt, wird in der Regel auch unter Cyberkriminellen immer beliebter. Außerdem werden schädliche QR-Codes nicht nur von einem einzelnen Virenschreiber oder einer Gruppe von Virenschreibern verwendet, sondern sie wird auch mit Hilfe der berühmt-berüchtigten Partnerprogramme angeschoben, was ihnen in Bälde eine hohe Popularität unter Cyberkriminellen bescheren wird.

Mobiler Hacktivismus: Der Anfang

Im Laufe des gesamten Jahres 2011 beobachteten wir eine nie dagewesene Aktivität von Hackern, die nicht von der Aussicht auf das schnelle Geld angetrieben werden, sondern von einem Bedürfnis nach Protest oder sogar dem Rachedurst gegenüber Politikern, Großkonzernen und Staaten. Politisch motivierte Hacker drangen in die am besten geschützten Systeme ein, veröffentlichten Daten von tausenden von Personen auf der ganzen Welt und selbst die technisch höchstentwickelten Systeme waren DDoS-Attacken von Groß-Botnetzen der Hacktivisten ausgesetzt.

Zum Hacktivismus lassen sich auch Schadprogramme zählen, die einen klaren politischen Subtext transportieren. Derartige Schädlinge tauchten auch in der mobilen Welt auf.

Eine Bedrohung, die von Kaspersky Lab als Trojan-SMS.AndroidOS.Arspam geführt wird, richtet sich an Nutzer in arabischen Staaten. Diese trojanische Kompass-Anwendung wurde in arabischsprachigen Foren verbreitet. Die wichtigste Funktionalität des Trojaners bestand in dem Versand von SMS mit einem Link zu einem Forum über Mohamed Bouazizi an zufällig ausgewählte Kontakte des infizierten Gerätes. (Die Selbstverbrennung von Mohamed Bouazizi in Tunis löste massenhafte Proteste und die anschließende Revolution in dem Land aus.)

Darüber hinaus versucht Arspam auch den ISO-Code des Landes zu bestimmen, in dem das Smartphone benutzt wird. Stimmt dieser Wert mit BH (Bahrain) überein, so versucht der Schädling, eine PDF-Datei auf das Telefon zu laden, die einen Bericht der BICI (Bahrain Independent Commission of Inquiry) über Verletzungen der Menschenrechte enthält.

Zum gegenwärtigen Zeitpunkt ist dies das einzige Beispiel für Hacktivismus eines mobilen Schädlings. Es ist allerdings anzunehmen, dass wir es im Jahr 2012 mit hoher Wahrscheinlichkeit noch mit anderen derartigen Programmen zu tun bekommen werden.

Fazit

Zieht man ein Fazit aus der Entwicklung des letzten Jahres, so kann man mit Bestimmtheit von einem Schlüsseljahr sprechen, wenn es um die Evolution mobiler Bedrohungen geht. Erstens, weil die Zahl der Schadprogramme rasant angestiegen ist. Zweitens, weil die Cyberkriminellen Android als wichtigste Zielplattform für ihre Attacken ausgewählt haben. Drittens, weil die Online-Gangster die Entwicklung und Verbreitung von Schadsoftware im Jahr 2011 praktisch automatisiert haben.

Was erwartet uns also im Jahr 2012? Hier unsere Vermutungen in Kurzfassung:

  • Das Interesse der Virenautoren an der mobilen Plattform Android wird weiter steigen und sie werden ihre Anstrengungen im Wesentlichen auf die Entwicklung von Schädlingen unter diesem Betriebssystem konzentrieren.
  • Es wird mehr Attacken unter Ausnutzung von Sicherheitslücken geben. Während Exploits bisher nur zum Erhalt von Root-Rechten auf dem Smartphone eingesetzt werden, so erwarten wir im Jahr 2012 die ersten Attacken, bei denen Exploits für die Infektion des Betriebssystems genutzt werden.
  • Die Zahl der Vorfälle mit Schadprogrammen in offiziellen App-Shops wird steigen, in erster Linie im Android Market.
  • Erste Massenwürmer für Android.
  • Verbreitung von mobiler Spionage.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.