Virologie mobiler Geräte, Teil 6

Inhalt

    Einleitung

    Vor einem Jahr haben wir den fünften Teil unserer Reihe über die Entwicklung von Schadprogrammen für mobile Geräte veröffentlicht. Jetzt ist es an der Zeit, ein Fazit für das Jahr 2012 zu ziehen: Wir überprüfen, ob sich unsere Prognosen erfüllt haben, präsentieren qualitative und quantitative Daten über die Entwicklung der Schädlinge und analysieren die wichtigsten Evolutionstrends – sowohl der Schadprogramme als auch der mit ihrer Hilfe durchgeführten Attacken. Abschließend treffen wir eine Vorhersage zur Entwicklung von Schadprogrammen und Attacken auf mobile Geräte im Jahr 2013.

    Wie lauteten unsere Vorhersagen für das Jahr 2012? Kurz gesagt stand an erster Stelle die weitere Zunahme von Schadprogrammen für Android, da wir annahmen, dass sich die Bemühungen der Cyberkriminellen in erster Linie gegen diese Plattform richten würden. Diese Vorhersage hat sich erfüllt. Die Autoren mobiler Malware haben sich tatsächlich fast ausschließlich auf die Entwicklung und Verbreitung von Schädlingen für dieses Betriebssystem konzentriert.

    Des Weiteren sagten wir voraus, dass Cyberverbrecher für die Infektion von Geräten nicht mehr ausschließlich Root-Exploits für Android einsetzen würden, die den vollständigen Zugriff auf das Betriebssystem ermöglichen, sondern dass die ersten Drive-by-Attacken auf Android unter Ausnutzung von Sicherheitslücken stattfinden würden. Diese Annahme hat sich nicht bestätigt – und zwar offensichtlich in erster Linie deshalb, weil für Cyberkriminelle aufgrund des gegenwärtigen Entwicklungsstandes der Android-Malware gar keine zwingende Notwendigkeit für solche Angriffe besteht. Die Anwender infizieren ihre mobilen Geräte nach wie vor „selbstständig“.

    Auch unsere Vorhersage über das Erscheinen der ersten Massenwürmer für Android – genauer gesagt SMS-Würmer – ist nicht eingetroffen.

    Weiterhin nahmen wir an, dass die Zahl der Vorfälle mit Schadprogrammen in offiziellen App-Stores weiter steigen würde. Leider hat sich diese Vorhersage bewahrheitet. Nicht nur in Google Play tauchten regelmäßig die unterschiedlichsten Schädlinge auf (wobei die Zahl der Opfer zwischen einigen Dutzend und einigen Zehntausend variierte), sondern erstmals gab es auch einen Fall von Malware im App Store für iOS.

    Bei unserer Vorhersage über das Auftreten erster mobiler Botnetze für Android lagen wir richtig. Dabei waren diese Botnetze hinsichtlich der geografischen Verteilung der Infektionen, der Zahl der infizierten Geräte und auch der Funktionalität sehr vielfältig.

    Die oben aufgezählten Prognosen betrafen ausschließlich Android, die derzeit populärste Plattform für mobile Geräte. Was andere mobile Plattformen und Betriebssysteme angeht, so nahmen wir an, dass der Trend zu Schädlingen für Symbian, Blackberry usw. gehen würde, auf die sich zielgerichtete Angriffe durchführen lassen. Krasse Beispiele für solche Attacken sind die mit Hilfe von ZitMo und SpitMo (ZeuS- und SpyEye-in-the-Mobile) durchgeführten Angriffe. Diese Prognose hat sich ebenfalls bewahrheitet. Dabei hat es in der „Familie“ der mTANs stehlenden Schädlinge (ZitMo und SpitMo) Nachwuchs gegeben: Einen weiteren populären Bank-Trojaner, Carberp, gibt es nun auch als mobile Version, die einen schon beinahe traditionell zu nennenden Namen nach Art von ZitMo und SpitMo erhalten hat – nämlich CitMo oder auch Carberp-in-the-Mobile.

    Ebenfalls eingetreten sind zwei allgemeine, wenngleich überaus wichtige Vorhersagen, die für die weitere Entwicklung von Attacken auf mobile Geräte wegweisend sind. Zum einen geht es dabei um die Entstehung einer vollwertigen Industrie mobiler Malware, zum anderen um mobile Spionage, die nicht mehr nur von Strafverfolgungsbehörden und einzelnen Institutionen betrieben wird.

    Der bereits sechste Teil unserer Reihe „Virologie mobiler Geräte“ behandelt die wichtigsten Ereignisse des Jahres 2012, die mit der Entwicklung von Schädlingen für mobile Geräte zusammenhängen.

    Statistik

    Das folgende Kapitel liefert statistische Daten über die Entwicklung von mobilen Schädlingen. Neben den Daten über die Zunahme von Schadprogrammen, ihre Erscheinungsdynamik, die Verteilung nach Plattformen und Typen enthält dieser Teil auch Informationen, die mit Hilfe des Cloud-Services Kaspersky Security Network (KSN) zusammengetragen wurden, der nun auch in unseren mobilen Produkten für Android verfügbar ist.

    Allgemeine Statistik für das Jahr 2012

    Der bemerkenswerteste statistische Wert für das Jahr 2012 ist der explosionsartige Anstieg der Schadprogramme für Android. Urteilen Sie selbst: Während wir im gesamten Jahr 2011 fast 5.300 neue Schädlinge für alle mobilen Plattformen entdeckten, so überstieg die Zahl der von uns entdeckten Android-Schädlinge diesen Wert bereits in mehreren einzelnen Monaten des Jahres 2012. Die Gesamtsumme der schädlichen Dateien liegt bereits bei über 6 Millionen!

    Hier eine Aufstellung der Modifikationen und Familien mobiler Schadprogramme in der Virendatenbank von Kaspersky Lab, Stand 1. Januar 2013:

    Plattform Modifikation Familie
    Android 43600 255
    J2ME 2257 64
    Symbian 445 113
    Windows Mobile 85 27
    Andere 28 10
    Insgesamt 46415 469

    Die Geschwindigkeit, mit der die Zahl der Schädlinge für mobile Geräte steigt, wird stetig rasanter: 40.059 von 46.415 Modifikationen und 138 von 469 Familien mobiler Schadprogramme in unseren Datenbanken kamen im Laufe des letzten Jahres neu hinzu!

    Hinsichtlich der Verteilung nach Plattformen ist das unten abgebildete Diagramm überaus aussagekräftig:

    Verteilung mobiler Schädlinge in den Jahren 2004 bis 2012 nach Plattformen

    Während gegen Ende 2011 rund  65 Prozent aller mobilen Schädlinge auf Android entfielen, so betrug der Anteil von Android-Schadprogrammen Ende des Jahres 2012 fast 94 Prozent.

    Dabei richten sich 99 Prozent aller im Laufe des Jahres 2012 entdeckten mobilen Schädlinge gegen Android-Geräte. Bereits Mitte des Jahres war klar, dass Malware für dieses Betriebssystem zumindest in den nächsten zwei Jahren dominieren würde. Die Tatsache, dass Android zum am weitesten verbreiteten Betriebssystem für mobile Geräte geworden ist, machte diese Plattform zum Hauptziel der Virenschreiber. Die Gleichung „am weitesten verbreitetes Betriebssystem“ + „Installation von Software aus beliebiger Quelle“ = „höchste Zahl von Schädlingen“ geht nach wie vor auf.

    Am weitesten verbreitete Schädlinge für Android

    Im Frühjahr 2012 brachten wir unseren Cloud-Service KSN für unserer Android-Sicherheitslösungen an den Start. Dadurch konnten wir nicht nur den Anwendern von mobilen Geräten einen zusätzlichen Schutz bieten, sondern erhielten auch eine interessante Statistik darüber, mit welchen Modifikationen von Schadprogrammen es die Nutzer am häufigsten zu tun bekommen.

    Die am häufigsten auf Android-Geräten aufgespürten Objekte lassen sich in drei Hauptgruppen einteilen: SMS-Trojaner, Werbeprogramme und Exploits zur Erlangung von Root-Privilegien auf dem Smartphone.

    Die am weitesten verbreiteten Android-Schädlinge

    Die unter Cyberkriminellen beliebtesten Android-Schädlinge waren SMS-Trojaner, die sich im Wesentlichen gegen Anwender in Russland richten. Das ist auch nicht erstaunlich, denn das Versenden einer kostenintensiven SMS von einem infizierten Gerät ohne Zustimmung des Anwenders ist und bleibt die Haupteinnahmequelle von Online-Gangstern, die sich auf mobile Plattformen spezialisiert haben.

    Die zweite Gruppe von Schädlingen aus den Top 10 stellen die Werbemodule Plangton und Hamob. Die erstgenannte Familie wird nicht umsonst als Trojan.Plangton bezeichnet, ist in kostenlosen Anwendungen anzutreffen und zeigt tatsächlich Werbung an. Allerdings kann dieses Programm auch die Startseite des Browsers ohne Vorwarnung und Zustimmung des Anwenders verändern, was als schädliches Verhalten gewertet wird. Unter AdWare.AndroidOS.Hamob führen wir solche Anwendungen, die sich selbst als nützliche Programme ausgeben, dem Anwender aber in Wahrheit nur Werbung anzeigen.

    Schließlich noch die dritte Gruppe: Zu ihr gehören verschiedene Modifikationen von Lotoor – Exploits zur Erlangung von Root-Rechten auf unterschiedlichen Android-Versionen.

    Bedrohungen für die Anwender

    Im Jahr 2012 hatten wir es mit einer deutlichen Zunahme von Vorfällen mit Schadprogrammen für Android zu tun, obwohl die Malwareautoren auch die anderen mobilen Betriebssysteme nicht ganz vergaßen. Über die bedeutsamsten Vorfälle berichten wir im Folgenden.

    Mobile Botnetze

    Formal gesehen trat das erste mobile Botnetz im Herbst 2009 in Erscheinung. Damals wurde das zweite Schadprogramm für gehackte iOS-Geräte entdeckt, das in der Lage war, Befehle von einem entfernten Server zu empfangen und auszuführen. Doch zu diesem Zeitpunkt war das höchstens ein Beweis dafür, dass auch bald Botnetze erscheinen würden, die nur aus mobilen Geräten bestehen.

    Das Auftauchen von Botnetzen im Jahr 2012, die auf mobilen Geräten mit dem Betriebssystem Android basieren, war absehbar. Das erste beunruhigende Ereignis war die Entdeckung des IRC-Bots für Android im Januar, der im Zusammenspiel mit einem SMS-Trojaner funktionierte. Beide Schädlinge erhielten den Namen Foncy.

    Icon von Foncy „MADDEN NFL 12“ nach der Installation

    Neben dem SMS-Trojaner und dem IRC-Bot enthielt der APK-Dropper auch ein Root-Exploit. Nach dem Start gab sich das Exploit im infizierten System Root-Privilegien. Daraufhin wurde der IRC-Bot gestartet, der seinerseits den SMS-Trojaner installierte und startete. Hatte der SMS-Trojaner seine Arbeit getan, stellte er seine Funktion ein, der IRC-Bot blieb jedoch aktiv und wartete auf Befehle. So war es der IRC-Bot, der das Smartphone nach der Infektion kontrollierte. Faktisch bildeten alle mit dem IRC-Bot Foncy infizierten Smartphones ein vollwertiges Botnetz und waren in der Lage, praktisch jede beliebige Aktion auf Befehl ihres „Herren“ auszuführen.

    Der französischen Polizei gelang es, zwei der Entwicklung und Verbreitung dieses Schädlings Verdächtigte aufzuspüren und zu verhaften. Nach Angaben der Polizei infizierten die Virenschreiber über 2.000 Geräte und verdienten auf diese Weise um die 100.000 Euro. Dies war der erste Fall einer Verhaftung von Personen, die der Entwicklung und Verbreitung eines Schadprogramms für mobile Geräte verdächtigt werden.

    Im Februar wurde ein mobiles Botnetz entdeckt, dessen Zahl aktiver Geräte zwischen 10.000 und 30.000 schwankte, wobei die Gesamtzahl der infizierten Smartphones in die Hunderttausende ging. Aufgebaut wurde dieses Zombienetz von chinesischen Virenautoren. Das Fundament bildete der Backdoor RootSmart, der über vielfältige Funktionen zur entfernten Steuerung von mobilen Geräten unter Android verfügt. Zur Verbreitung von RootSmart setzten die Cyberkriminellen auf eine bekannte und bewährte Methode: Sie packten ein legales Programm neu und hinterlegten es auf der Webseite eines zwar nicht offiziellen, in China aber sehr beliebten App-Shops für Android. Nutzer, die von dort ein angebliches Programm zur Konfiguration des Telefons herunterluden, fingen sich zusammen mit diesem einen Backdoor ein, der ihr Gerät an ein Botnetz anschloss.

    Die Ausmaße der Infektion durch RootSmart ermöglichten es den Cyberkriminellen, das von ihnen aufgebaute Netz aus befallenen Telefonen effektiv in klingende Münze umzuwandeln. Dazu wählten sie die unter Online-Verbrechern, die es auf mobile Geräte abgesehen haben, populärste Methode – den Versand von kostenpflichtigen SMS an Kurznummern. Die Cyberkriminellen verwendeten die billigsten Nummern, damit die Opfer ihre Verluste so lange wie möglich nicht bemerkten. Dass die Cyberkriminellen die vollständige Kontrolle über die mobilen Geräte erlangten, gab ihnen die Möglichkeit, die Anwesenheit des Schadprogramms auf dem Telefon für eine lange Zeit zu verbergen und weiteres Geld von den Konten der Anwender abzubuchen.

    Im Jahr 2012 bekamen wir es ebenfalls mit Backdoors zu tun, denen es glücklicherweise nicht gelang, eine bedeutende Zahl von Geräten zu infizieren. Doch sie zeichneten sich durch einige interessante Besonderheiten aus.

    Der Android-Schädling Cawitt ist in erster Linie wegen eines Mechanismus interessant, mit dessen Hilfe der Bot die Domainnamen vom Steuerungszentrum erhält. Zu diesem Zweck nutzt Cawitt Twitter aus. Im Körper des Schadprogramms sind Zeilen gespeichert, aus denen Cawitt Pseudonyme der Nutzer dieses sozialen Netzwerkes erstellt. Nachdem der Backdoor die Namen imaginärer Anwender generiert hat, schickt er eine Anfrage an den Twitter-Server, um ihre Tweets abzuholen. Diese Tweets enthalten die Domainnamen der Kommandozentrale.

    Beispiele für Tweets vom Steuerungszentrum (C&C)

    Um Befehle vom Steuerungszentrum (C&C) empfangen zu können, richtet Cawitt eine POST-Anfrage an die Domain, deren Namen er von Twitter erhalten hat, indem er den Domainnamen mit der Zeile „/carbontetraiodide“ zusammensetzt. Als Antwort auf die Anfrage erhält der Bot einen Befehl.

    Ein weiterer interessanter Schädling, der Ende des Jahres 2012 entdeckt wurde, ist ein Spam-Bot für Android mit der Bezeichnung SpamSold. Damit wurde erstmals ein Schadprogramm für mobile Geräte gefunden, dessen Hauptfunktionalität darin besteht, SMS-Spam von den infizierten Geräten aus zu versenden.

    Der Backdoor versucht seine Anwesenheit auf dem Smartphone zu verbergen, indem er sein Icon löscht und eine kostenlose Version eines Spieles lädt, als das er sich dann tarnt. Daraufhin sendet SpamSold eine GET-Anfrage der folgenden Art an den Steuerungsserver:

    GET-Anfrage von SpamSold

    Als Antwort erhält der Backdoor den Text der SMS, die versendet werden soll, sowie die ersten 100 Nummern, an die die Kurzmitteilungen geschickt werden.

    Antwort des Servers

    Nach Erhalt der Antwort versucht der Bot, die SMS mit dem empfangenen Text nacheinander an die entsprechenden Nummern zu versenden. Sobald alle Nummern aufgebraucht sind, wendet SpamSold sich wieder an den Server, um eine neue Ladung Nummern und den nächsten SMS-Text abzuholen. Dabei verbirgt der Schädling die versendeten SMS und verschleiert damit auch seine eigene Aktivität.

    Glücklicherweise ist es den Gangstern nicht gelungen, ein großes Botnetz aufzubauen. Doch allein die Tatsache, dass sie nun mobile Schadprogramme für den Versand von SMS-Spam einsetzen, führt zu der Annahme, dass Schädlinge mit einer derartigen Funktionalität im Jahr 2013 kein Einzelfall sein werden.

    Die Jagd auf mTANs

    Im Jahr 2012 wurden einige neue Schädlinge für zielgerichtete Attacken verwendet. Ein markantes Beispiel für solche Attacken sind die mit Hilfe von ZitMo und SpitMo (Zeus- und SpyEye-in-the-Mobile) durchgeführten Angriffe. Diese Schädlinge werden zum Abfangen von SMS entwickelt, die ein Online-Banking-System versendet und die Codes zur Autorisierung von Banktransaktionen (mTANs) enthalten.

    Von ZitMo und SpitMo erscheinen regelmäßig neue Versionen, sowohl für Android als auch für andere Betriebssysteme. Die Malware-Autoren verwenden noch immer dieselbe Methode zur Tarnung der Schädlinge wie bereits zwei Jahre zuvor. Sie tarnen ihre Machwerke entweder als „Sicherheitszertifikat“ oder als Software für Smartphones. Unter der Maske solcher Programme laden sich die Anwender dann Schädlinge auf ihr Gerät.

    ZitMo getarnt als Schutzanwendung

    Die Popularität von Android bedeutet nicht, dass andere Betriebssysteme nicht angegriffen werden. Den Virenschreibern waren beispielsweise die Gerüchte über das baldige Aussterben der Plattform Blackberry herzlich egal. Im Jahr 2012 erschienen auch für diese Plattform neue ZitMo-Versionen, wobei die Cyberkriminellen in einer Angriffswelle sowohl Schädlinge für Blackberry als auch für Android einsetzten. Zumindest waren die C&C-Nummern in ihnen identisch.

    Einige neue Modifikationen von ZitMo für Android begannen sich ihren für andere Plattformen entwickelten „Brüdern“ anzugleichen. Während ZitMo für Android früher über eine recht primitive Funktionalität verfügte (im Wesentlichen die Weiterleitung eingehender SMS mit mTANs), so enthielten die neuen Versionen des Trojaners eine erweiterte Befehlsliste, die seine Autoren für die Kontrolle und Steuerung des Schädlings nutzen.

    Beispiele für Befehle von ZitMo für Android

    Bis zum Jahr 2012 registrierten wir nur in einigen europäischen Ländern wie etwa Spanien, Italien, Deutschland und Polen Angriffe, die auf den Diebstahl von mTANs abzielten. Dabei waren verschiedene mobile Plattformen gefährdet: Android, Blackberry, Symbian und Windows Mobile. Ende 2012 war auch Russland betroffen, wo das Online-Banking immer populärer wird, was natürlich auch Einfluss auf die Aktivität der Virenautoren hat. Der verbreitete Trojaner Carberp, der nach demselben Prinzip wie ZeuS funktioniert, wurde nun auch um eine mobile Version erweitert – Trojan-Spy.AndroidOS.Citmo.

    Der Trojaner CitMo kann ebenso wie sein „Gesinnungsgenosse“ ZeuS ZitMo eingehende SMS verbergen, die mTANs enthalten, und diese dann an die Cyberkriminellen weiterleiten. Verschiedene CitMo-Versionen senden die abgefangenen SMS sowohl an die Telefonnummern der Cyberkriminellen als auch an deren entfernte Server.

    Eine der Carberp-Versionen modifizierte die Login-Seite des Online-Banking-Systems einer russischen Bank. Auf der gefälschten Startseite wurde der Anwender aufgefordert, ein Programm herunterzuladen und zu installieren, das angeblich für die Anmeldung im System unerlässlich ist. Der Anwender erhielt den Link auf dieses Programm entweder per SMS, nachdem er seine Telefonnummer angegeben hatte, oder durch Scannen eines QR-Codes.

    QR-Code als Download-Methode von Schädlingen

    Der Link führte auf die Anwendung SberSafe (Trojan-Spy.AndroidOS.Citmo), die zwei Wochen lang im App-Shop Google Play kursierte.

    Nach dem Start forderte die schädliche Anwendung das potenzielle Opfer dazu auf, seine Telefonnummer einzugeben. Diese Nummer wurde dann in die Datei auth.txt geschrieben und an einen entfernten Server der Cyberkriminellen geschickt. Nach einer gewissen Zeit erhielt der Anwender eine SMS mit einem fünfstelligen Code, der in dem Programm angezeigt werden musste. Dieser Code wurde in die Datei authcode.txt geschrieben und diente zusammen mit der Telefonnummer zur Identifikation der Daten, die das Schadprogramm in der Folge an den Server der Cyberkriminellen schickte.

    Um die mTAN-Nummern stehlen zu können, muss der Trojaner unbedingt die vom Online-Banking-System eingehenden SMS verbergen. Andernfalls erwecken solche Mitteilungen Misstrauen beim Anwender, wenn die Cyberkriminellen versuchen, Geld vom Konto des kompromittierten Kontos zu überweisen.

    CitMo holte sich vom Server der Cyberkriminellen Informationen darüber, welche per SMS eingehenden mTANs verborgen und an einen entfernten Server geschickt werden mussten (wurden in die Datei hide.txt geschrieben) und welche SMS-Nachrichten gezeigt werden können (wurden in die Datei view.txt geschrieben). Sobald eine Kurznachricht einging, überprüfte CitMo zunächst den Absender. Wenn die Daten des Absenders mit den in der Datei hide.txt gespeicherten Informationen übereinstimmten, so wurde die SMS verborgen und in die Datei messages.txt geschrieben, die dann an den Server der Cyberkriminellen gesendet wurde.

    SMS-Trojaner

    Die Entwicklung der unter Cyberkriminellen beliebtesten Methode zur Monetarisierung mobiler Schädlinge geht weiter. Im Jahr 2011 war der interessanteste Trend das Erscheinen von SMS-Trojanern, die ihr Unwesen in Ländern Europas und Nordamerikas trieben. Im Jahr 2012 wurden bereits vollwertige Partnerprogramme zur Verbreitung von SMS-Trojanern aufgedeckt, die sich gegen Nutzer in genau diesen Ländern richteten. Partnerprogramme gehören bekanntermaßen zu den effektivsten Einrichtungen, wenn es um die Entwicklung, Verbreitung und Monetarisierung von Schadprogrammen geht.

    Im Jahr 2012 wurde eine Familie von SMS-Trojanern für Android mit dem Namen Vidro entdeckt, die Nutzer in Polen angriff. Der SMS-Trojaner ist für sich genommen nichts Besonderes, doch ein Merkmal ist durchaus erwähnenswert: Der Schädling verbreitet sich über Pornoseiten eines mobilen Partnerprogramms, um den Porno-Traffic in Geld umzumünzen.

    Der Download des Schädlings erfolgte von der schädlichen Domain vid4droid.com. Diese Domain wird von zwei Namensservern kontrolliert, deren Adresse carmunity.de lautet, und der Mailserver vid4droid.com befindet sich auf tecmedia.eu. Es gibt einige Hosts (beispielsweise sex-goes-mobile.biz, sexgoesmobile.biz, sexgoesmobil.com), bei denen die Namensserver und Mailserver dieselben sind wie bei vid4droid.com. Geht man auf einen dieser Hosts, so erfolgt eine Umleitung auf sexgoesmobile.com. Das ist die Webseite des Partnerprogramms zur Monetarisierung des „erwachsenen“ mobilen Traffics.

    Homepage des Partnerprogramms SexGoesMobile.com

    Viele mobile Partnerprogramme (zumindest russische) stellen allen Teilnehmern vollständigen Zugriff auf so genannte Promo-Mittel zur Verfügung. Das Partnerprogramm SexGoesMobile bildet da keine Ausnahme. Jeder Partner, der an SexGoesMobile beteiligt ist, hat eine eigene ID. Der Partner kann eine Webseite für mobile Geräte erstellen, indem er eine der bestehenden Schablonen benutzt (jede Schablone hat einen eigenen Domainnamen), eine einzigartige URL mit seiner ID generieren, die auf vid4droid.com führt, und diese URL auf seiner Seite platzieren.

    Mit einem Klick auf einen beliebigen Link auf der Schablonen-Webseite landete der Anwender auf der Webseite vid4droid.com. Dabei wurde auf dem entfernten Server auf der Grundlage des Referrers (einzigartige URL mit der ID des Partners) eine einzigartige Buchstaben- und Zahlenfolge generiert. Auf der Webseite vid4droid.com wurde der Anwender aufgefordert, die als Porno-Anwendung getarnte Datei vid4droid.apk herunterzuladen, bei der es sich ebenfalls um den Trojaner Vidro handelte.

    Nachdem sich der Trojaner auf dem mobilen Gerät eingenistet hatte, sendete er an die polnische kostenpflichtige Nummer 72908 eine SMS mit dem Text „PAY {einzigartige Buchstaben- und Zahlenfolge}“ – mit eben der einzigartigen Zeichenfolge, die auf Grundlage der URL und der ID des Partners generiert wurde. Auf diese Weise hat jeder Partner das Geld der Anwender mit Hilfe eines „eigenen“ SMS-Trojaners gestohlen, der Kurznachrichten mit individuellen Texten versendet.

    Das Auftreten derartiger Partnerprogramme über die Grenzen Russlands und der Ukraine hinaus gibt Grund zu der Annahme, dass sich nicht nur in Russland, sondern auch in anderen Ländern eine vollwertige Industrie für mobile Schadprogramme entwickelt hat.

    Vorfälle in offiziellen App-Shops

    Obwohl Google inzwischen das Antivirenmodul Google Bouncer eingeführt hat, das automatisch alle neuen Anwendungen auf Google Play überprüft (früher Android Market), gibt es hinsichtlich der durchschnittlichen Zahl der Vorfälle und deren Ausmaße keine wesentlichen Veränderungen.

    Die größte öffentliche Aufmerksamkeit erregen üblicherweise diejenigen Vorfälle mit den meisten Infektionen, wie beispielsweise die Geschichte um das Schadprogramm Dougalek, das sich zehntausende Anwender (in erster Linie aus Japan) herunterluden. Dieser Vorfall führte zu einem der größten Verluste von persönlichen Daten infolge einer Infektion von mobilen Geräten. Einige Zeit nach diesem Vorfall verhaftete die Tokioter Polizei fünf Personen, die der Entwicklung und Verbreitung dieses Schadprogramms verdächtigt werden – die zweite Festnahme von Urhebern mobiler Malware im Jahr 2012.

    Im Jahr 2012 gab es noch ein weiteres wegweisendes Ereignis: Zum ersten Mal wurde im App-Store ein Schadprogramm für iOS entdeckt. Anfang Juli wurde eine verdächtige Anwendung mit der Bezeichnung „Find and Call“ gefunden, deren Kopie sowohl im App Store als auch im Android Market auftauchte.

    Installierte Anwendung Find and Call

    Hatte der Nutzer die Anwendung heruntergeladen und gestartet, wurde er aufgefordert, sich im Programm mit seiner E-Mail-Adresse und Telefonnummer zu registrieren. Wenn der Anwender der Aufforderung nachkam und danach versuchte, mit Hilfe der Anwendung „Freunde im Telefonbuch zu finden“, so wurden alle seine Kontakte verdeckt in folgendem Format auf einen entfernten Server geladen:

    An jede gestohlene Nummer aus dem Telefonbuch wurde nach einer gewissen Zeit eine Spam-SMS versendet, welche die Aufforderung enthielt, mit einem Klick auf den enthaltenen Link die Anwendung „Find and Call“ auf das Telefon zu laden.

    Nachdem dieser Vorfall publik geworden war, fragten wir uns, warum diese Anwendung schädlich ist. Sie ist es deshalb, weil sie insgeheim das Telefonbuch des Anwenders auf einen entfernten Server lädt, um es dann für den Versand von SMS-Spam zu verwenden.

    Glücklicherweise ist dieser Vorfall bisher der einzige nachgewiesene Fall, in dem ein Schadprogramm im App Store für iOS gefunden wurde.

    Cyberespionage

    Im vergangenen Jahr sagten wir voraus, dass der Datendiebstahl bei Mobiltelefonen und die Verfolgung von Personen mit Hilfe von Telefonen und Geolokalisierungsdiensten weit verbreitet sein würde. Leider ist es genau so gekommen. Die Zahl der Schadprogramme, die ihrem Verhalten nach entweder Spionage-Trojaner oder Backdoors sind, stieg um ein Hundertfaches. Erwähnenswert ist ebenfalls die steigende Zahl von kommerziellen Überwachungs-Anwendungen, die teilweise nur schwer von Schadprogrammen abzugrenzen sind.

    In der Geschichte der mobilen Spionage gab es einige überaus bemerkenswerte Episoden. In diesem Zusammenhang sei an das Jahr 2009 erinnert, als einer der größten Mobilfunkbetreiber der Vereinigten Arabischen Emirate unter der Maske eines Sicherheitsupdates Kurzmitteilungen mit einem Link auf Spionagesoftware an Blackberry-Anwender schickte. Ebenfalls nicht zu vergessen ist das Interesse der Regierungen verschiedener Länder am Zugriff auf geschützte Kommunikation, die mit Blackberry-Smartphones umgesetzt werden kann.

    Hier die beiden prägnantesten und skandalträchtigsten Ereignisse des Jahres 2012 im Zusammenhang mit Cyberspionage:

    • Die Entdeckung mobiler Versionen des Spionagemoduls FinSpy, das vom britischen Unternehmen Gamma International entwickelt wurde.
    • Die Aufdeckung von technischen Details einer Spionage-Operation mit dem Namen Roter Oktober, im Zuge derer Daten und geheime Informationen nicht nur von den Computern und dem Netzwerk der angegriffenen Organisationen (diplomatische und staatliche Strukturen) gestohlen wurden, sondern auch von den mobilen Geräten der Mitarbeiter.

    Diesen beiden Vorfällen gebührt eine eingehendere Betrachtung.

    FinSpy

    Die mobilen Versionen von FinSpy gehören zum Portfolio des britischen Unternehmens Gamma International. Die ersten Informationen über die Existenz dieser Werkzeuge zur entfernten Überwachung wurden in der ersten Jahreshälfte 2011 publik. Im selben Jahr erschienen Daten, die darauf hinwiesen, dass es auch mobile Versionen von FinSpy gibt. Doch erst im August 2012 gelangte die Organisation The Citizen Lab an mobile Versionen von FinSpy für Android, iOS, Windows Mobile, Symbian und Blackberry und konnte diese analysieren.

    Die Modifikationen von FinSpy für verschiedene Plattformen besitzen eine in vielen Punkten ähnliche Funktionalität:

    • Aufzeichnung der ein- und ausgehenden Anrufe.
    • Verborgene Aufrufe zum Abhören der Umgebung.
    • Diebstahl von Informationen von einem Smartphone (Protokolle der Telefonate, SMS/MMS, Kontakte u.a.).
    • Verfolgung der Koordinaten.
    • Internet/SMS-Kommunikation mit einer Steuerungszentrale.

    Die Versionen für jede Plattform zeichnen sich jedoch durch einige Besonderheiten aus. So ist die FinSpy-Version für Symbian beispielsweise in der Lage, Screenshots zu erstellen. FinSpy für Blackberry verfolgt die Kommunikation im Blackberry Messenger,  die Version für Android kann den „Flugmodus“ aktivieren/deaktivieren, FinSpy für iOS kann auf einer begrenzten Auswahl von Geräten mit konkreten UDIDs installiert werden und die Version für Windows Mobile verwendet sogenannte XML provisioning-Konfigurationsdateien zur Änderung der Sicherheitsregeln.

    Eine interessante Besonderheit aller mobilen Versionen von FinSpy ist die Entwicklung und Verwendung einer Konfigurationsdatei mit dem Namen 84c.dat. Die Generierungsmechanismen dieser Datei variieren in Abhängigkeit vom Betriebssystem, doch unter dem Strich enthält sie Informationen, die für die Funktion des Spionagemoduls unerlässlich sind (Adresse des C&C-Servers, Nummer des mobilen C&C, zu verwendende Ports usw.).

    Ein Teil der mit Hilfe von base64 verschlüsselten Konfigurationsdatei 84c.dat für Android

    Aber die Hauptfunktionalität der mobilen Module von FinSpy ist nicht außergewöhnlich oder einzigartig. Mit einer derartigen Auswahl von Funktionen hatten wir es schon häufig bei vielen kommerziellen Programmen des Typs FlexiSpy oder MobileSpy zu tun. Das wirklich Besondere an FinSpy ist der Entwickler des Programms: ein offiziell registriertes britisches Unternehmen, das sich – nach den Angaben auf dessen offizieller Webseite zu urteilen – mit der Entwicklung von Lösungen für die entfernte Überwachung für Regierungsorganisationen beschäftigt.

    Antworten auf die Fragen nach den Auftraggebern der FinSpy-Attacken und nach den konkreten Opfern gibt es derzeit nicht – und es wird sie auch in Zukunft kaum geben. Doch auch ohne diese Informationen hat das Auftauchen von FinSpy ein neues Kapitel in der Geschichte der mobilen Malware eingeleitet.

    Roter Oktober

    Sollte Ende 2012 noch irgendjemand Zweifel an der Aktualität des Themas mobile Cyberspionage gehabt haben, so wurde spätestens nach der Veröffentlichung der Berichte über die Operation Roter Oktober klar: Mobile Geräte stehen ebenso im Fadenkreuz zielgerichteter und Spionage-Attacken wie normale Computer.

    Wir verfügen über Beweise dafür, dass die unbekannten Personen, die hinter dieser Operation stecken, an Informationen von mobilen Geräten interessiert sind. Diese Informationen könnten sie nicht nur mit Hilfe von Malware für mobile Geräte erhalten, sondern auch mit Hilfe von Modulen für Windows, die mit an einen infizierten Computer angeschlossenen Geräten funktionieren. In diesem Abschnitt fassen wir alle uns zur Verfügung stehenden Informationen über die Module von Roter Oktober zusammen, sowie die Informationen, die auf die eine oder andere Weise damit in Zusammenhang stehen könnten.

    Eines der Module von Roter Oktober mit der Bezeichnung RegConn ist verantwortlich dafür, Systeminformationen sowie Daten über Software zu sammeln, die auf dem infizierten Computer installiert ist und verwendet wird. Dazu liest das Modul bestimmte Registry-Einträge aus (die Liste der Einträge ist im Modul selbst enthalten). Unter diesen Einträgen sind die folgenden hervorzuheben:

    Registry-Einträge aus dem Modul RegConn

    Diese Registry-Einträge stehen auf die eine oder andere Weise in Beziehung zu Software für mobile Geräte (zum Beispiel zu iTunes und Nokia PC Suite), die auf dem infizierten Computer installiert sein könnte.

    Eine andere Komponente von Roter Oktober wurde für das iPhone entwickelt. Dieses Modul ist verantwortlich für das Sammeln von Informationen von einem Smartphone, das mit einem mit diesem Modul infizierten Computer verbunden ist. Zu diesem Zweck nutzt das Modul eine iTunes-Bibliothek namens CoreFoundation.dll. Bemerkenswerterweise ist im Modul der Start zweier unterschiedlicher Dienste vorgesehen: Einer von ihnen wird gestartet, wenn auf dem mobilen Gerät noch kein Jailbreak durchgeführt wurde. Der zweite wird gestartet, wenn das Gerät gehackt wurde. In jedem Fall versucht das Modul die folgenden Informationen zu erhalten:

    • Daten über das Gerät, angefangen mit der individuellen ID des Smartphones bis hin zur Version der Firmware.
    • Dateien mit den folgenden Erweiterungen: .jpg, .jpeg, .txt, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .wav, .mp4, .m4a, .amr, .log, .cer, .em, .msg, .arc, .key, .pgp und .gpg.
    • Der Inhalt von Dateien, die Informationen über SMS, Kontakte, Anrufprotokolle, Notizen, Kalender, Mailbox, den Browserverlauf von Safari sowie E-Mails enthalten.

    Das Modul für Nokia verfügt über eine ähnliche Funktionalität und sammelt ebenfalls Informationen über das Gerät, SMS/MMS, Kalender, Kontakte, installierte Anwendungen und versucht ebenfalls, Dateien mit den folgenden Erweiterungen zu erhalten: .txt, .cdb, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .dot, .dotx, .odt, .djvu, .odts, .reg, .rtf, .zip, .rar, .pdf, .7z, .wab, .pab, .vcf, .ost, .jpg, .waw, .mp4, .m4a, .amr, .exe, .log, .cer, .eml, .msg, .arc, .key, .pgp und .gpg. Um mit dem an den infizierten Computer angeschlossenen mobilen Gerät kommunizieren zu können, verwendet das Modul die Bibliothek ConnAPI.dll aus dem Programm PC Connectivity Solution.

    Keinesfalls unerwähnt bleiben dürfen die Geräte mit Windows Mobile. Die dazugehörigen Module teilen sich in zwei Gruppen auf:

    1. Die Module, die auf einem infizierten Windows-Computer arbeiten (werden für die Infektion/Aktualisierung des an den Computer angeschlossenen mobilen Gerätes unter Windows Mobile verwendet).
    2. Die Module, die von der Windows-Komponente auf einem angeschlossen Smartphone unter Windows Mobile installiert wurden.

    Der Zweck der ersten Gruppe von Modulen besteht nicht im Sammeln von Informationen auf dem angeschlossenen Gerät unter Windows Mobile. Ihre Hauptaufgabe liegt in der Installation eines Backdoors auf dem Smartphone (beziehungsweise der Aktualisierung des Backdoors). Die Backdoor-Komponente, die von einem Modul aus der ersten Gruppe auf dem Smartphone installiert wird, trägt die interne Bezeichnung „zakladka“.

    Neben dem Backdoor lädt die Windows-Komponente zudem andere ausführbare Dateien auf das Gerät und verwendet sie dazu, die Konfiguration des Gerätes zu verändern, den Backdoor zu starten und ihn zu aktualisieren oder zu löschen. Außerdem kopiert der Backdoor die Konfigurationsdatei winupdate.cfg vom Computer auf das Smartphone.

    Diese Datei ist ursprünglich verschlüsselt. In dechiffrierter Form sieht sie folgendermaßen aus:

    Dechiffrierte Datei winupdate.cfg

    Diese Datei enthält Informationen über die MСС/MNC-Codes (MCC: Mobile Country Code, MNC: Mobile Network Code, das heißt Länder- und Mobilfunkanbieter-Codes). Insgesamt zählten wir 129 verschiedene Länder und über 350 unterschiedliche Mobilfunkanbieter in diesen Ländern.

    Die Backdoor-Komponente zakladka bestimmt die MCC/MNC-Codes des Smartphones und vergleicht die erhaltenen Informationen mit den Informationen aus der Datei winupdate.cfg, indem all das in die Log-Datei geschrieben wird.

    Das Modul zakladka versucht, an die in das Modul geschriebenen Adressen des C&C (win-check-update.com oder mobile-update.com, wenn die erste Domain nicht verfügbar ist) eine POST-Anfrage zu schicken, und verwendet dabei folgendes Muster:

    Als Antwort erhält das Modul vom entfernten Server eine Datei, die in Windows%u.exe gespeichert und gestartet wird.

    Da nun schon einmal die Rede von den C&C-Domains war, so wollen wir neben win-check-update.com und mobile-update.com auch die folgenden Namen der vermutlichen C&C nicht unterschlagen, die wir entdeckt haben:

    • cydiasoft.com
    • htc-mobile-update.com
    • mobile-update.com
    • playgoogle-market.com
    • security-mobile.com
    • world-mobile-congress.com

    Es lässt sich also folgende Schlussfolgerung ziehen:

    Erstens wissen wir von der Existenz mehrerer Module von Roter Oktober, die für den Diebstahl von Informationen von verschiedenen mobilen Gerätetypen entwickelt wurden.

    Zweitens gibt es indirekte Hinweise (Liste der Registry-Einträge, Domain-Namen) darauf, dass Roter Oktober über Module für andere mobile Geräte verfügt, insbesondere solche mit Android und Blackberry, doch zum Zeitpunkt der Veröffentlichung dieses Artikels wurden sie noch nicht gefunden.

    Fazit

    Seit dem Auftauchen von Schadprogrammen für mobile Geräte kommt es jedes Jahr zu Ereignissen und Vorfällen, die die jeweils nächste Etappe in der Entwicklung mobiler Schädlinge einläuten. Das Jahr 2012 kann man diesbezüglich wohl als eines der bedeutsamsten bezeichnen. Warum?

    Erstens ist die Zahl der mobilen Schädlinge in diesem Jahr drastisch angestiegen.

    Zweitens wurde Android im vergangenen Jahr endgültig zum Hauptziel der Cyberkriminellen.

    Drittens wurden die mobilen Bedrohungen „international“. Heute stehen nicht nur russische oder chinesische Anwender von mobilen Geräten im Visier der Online-Verbrecher, so wie es früher der Fall war. Ernstzunehmende Vorfälle mit nicht geringen Verlusten haben wir auch in anderen Ländern registriert.

    Viertens fanden wir Beweise dafür, dass mobile Geräte und Daten, die auf ihnen gespeichert werden, nicht nur eine Zielscheibe für gewöhnliche Cyberkriminelle darstellen, sondern auch für verschiedene Organisationen, die hinter Attacken wie Roter Oktober stehen.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.