Die Industrie der mobilen Malware entwickelt sich sowohl in technischer als auch in struktureller Hinsicht laufend weiter. Der moderne Cyberkriminelle ist kein Einzelkämpfer, sondern vielmehr ein einzelner Teilnehmer in einem reibungslos funktionierenden Geschäftsprozess.
In der Malware-Branche sind die Rollen klar verteilt: Virenautoren, Tester, Interfacedesigner für schädliche Anwendungen und Webseiten, von denen diese verbreitet werden, Inhaber von Partnerprogrammen, die Schadsoftware in Umlauf bringen sowie Besitzer mobiler Botnetze.
Auch das Verhalten von Trojanern lässt Rückschlüsse auf die Rollenverteilung unter den Cyberkriminellen zu. Im Jahr 2013 wurde eine Zusammenarbeit (höchstwahrscheinlich auf kommerzieller Ebene) verschiedener Virenschreiber-Gruppen offensichtlich. So hat das Botnetz Trojan-SMS.AndroidOS.Opfake.a neben seiner eigentlichen schädlichen Aktivität auch die Malware Backdoor.AndroidOS.Obad.a verbreitet, indem es Spam-Mails mit Links auf den Schädling an die Kontaktliste der betroffenen Person schickte.
Wie man sieht, steht dieser Industriezweig mittlerweile auf einem soliden Fundament und orientiert sich immer mehr an einer effektiven Gewinnerzielung, was sich auch in den Möglichkeiten der Schadprogramme widerspiegelt.
Das Jahr in Zahlen
Im Laufe des Jahres wurden 143.211 neue Schadprogrammmodifikationen für mobile Geräte entdeckt (Stand: 1. Januar 2014).
Zur Verbreitung mobiler Schädlinge nutzten Cyberkriminelle im Jahr 2013 etwa vier Millionen (3.905.502) Installationspakete. In den Jahren 2012 bis 2013 fanden die Kaspersky-Experten zusammen etwa 10 Millionen einzelne schädliche Installationspakete:
Zahl der entdeckten schädlichen Installationspakete, 2012 - 2013
Verschiedene Installationspakete können Programme installieren, die dieselbe Funktionalität besitzen. Der Unterschied kann lediglich im Interface der schädlichen App und beispielsweise im Inhalt der von ihr verschickten SMS liegen.
Android ist und bleibt das Hauptziel schädlicher Angriffe. 98,05 Prozent aller im Jahr 2013 entdeckten Schädlinge richteten sich gegen diese Plattform, ein klares Indiz sowohl für die Popularität dieses mobilen Betriebssystems als auch für die Verwundbarkeit seiner Architektur.
Verteilung mobiler, im Jahr 2013 entdeckter Schadprogramme nach Plattformen
Die Mehrzahl der mobilen Schädlinge ist darauf spezialisiert, Anwendern Geld zu stehlen. Das ist das Betätigungsfeld von SMS-Trojanern, vielen Backdoors und einem Teil der Schadprogramme der Kategorie Trojan.
Verteilung der mobilen Schadprogramme nach Kategorien
Innerhalb eines Jahres ist die Zahl der Modifikationen mobiler Schädlinge für Phishing und den Diebstahl von Kreditkarteninformationen sowie solcher Schädlinge, die Geld von Bankkonten stehlen, um das 19,7-Fache gestiegen. Im Jahr 2013 verhinderten die mobilen Produkte von Kaspersky Lab 2.500 Infektionen mit Banken-Trojanern.
Methoden und Technologien
Im Jahr 2013 erhöhten die mobilen Virenschreiber nicht nur einfach die Menge ihrer schädlichen Produkte, sondern sie setzten auch aktiv Methoden und Technologien ein, die es Cyberkriminellen ermöglichen, die Schadprogramme effektiver einzusetzen. Einige Entwicklungen im Bereich der mobilen Schädlinge sind besonders erwähnenswert.
Verbreitung
Die Cyberkriminellen setzten überaus raffinierte Methoden zur Infektion mobiler Geräte ein.
Die Infektion legaler Webressourcen ermöglicht die Verbreitung mobiler Schadprogramme über populäre Webseiten. Immer mehr User surfen mit ihren Smartphones und Tablets und bedenken dabei nicht, dass sogar die seriöseste Ressource von Cyberkriminellen gehackt sein kann. Den Berechnungen des Kaspersky-Teams zufolge sind 0,4 Prozent der Webseiten, die von den Anwendern der Kaspersky-Lab-Produkte besucht werden, gehackt und mit Schädlingen infiziert.
Verbreitung über alternative App-Shops. In Asien gibt es eine Vielzahl von Unternehmen, die Android-Geräte und Android-Anwendungen veröffentlichen. Viele von ihnen verfügen über eigene App-Stores, in denen man Programme bekommt, die es bei Google Play nicht gibt. Die Kontrolle der heruntergeladenen Anwendungen ist in solchen Shops häufig rein nominal, was es Cyberkriminellen ermöglicht, dort ihre als völlig harmlose Spiele oder Tools getarnten Trojaner zu platzieren.
Verbreitung über Botnetze. In der Regel verbreiten sich Bots, indem sie eine SMS mit einem schädlichen Link an die Kontaktliste der Person verschicken, deren Gerät infiziert wurde. Die Kaspersky-Experten haben außerdem einen Fall registriert, in dem ein mobiler Schädling über ein Botnetz eines Drittanbieters verbreitet wurde.
Immunität gegenüber Schutzlösungen
Eine wichtige Malware-Entwicklung äußert sich in der Fähigkeit eines Schädlings, lange auf dem mobilen Gerät des Nutzers aktiv zu bleiben. Je länger ein Trojaner auf einem Smartphone „überlebt“, desto mehr Geld verdient sein Betreiber daran. In diese Richtung treiben die Virenschreiber ihre Forschungen aktiv voran, was sich in der Menge technologischer Neuerungen widerspiegelt.
Cyberkriminelle setzen häufig Obfuskation ein – eine Technik zur Verschleierung des Codes, wodurch dessen Analyse erschwert wird. Je komplexer die Obfuskation, desto mehr Zeit vergeht bis zu dem Augenblick, in dem das schädliche Produkt von Antivirus-Lösungen entschärft wird. Bezeichnenderweise haben sich die Virenschreiber mittlerweile schon kommerzielle Obfuskatoren zugelegt, was eine gewisse Investition erforderlich macht, die oftmals nicht gering ausfällt. So wurde beispielsweise ein kommerzieller Ofuskator zu einem Preis von 350 Euro für die Trojaner Opfak.bo und Obad.a eingesetzt.
Cyberkriminelle nutzen Android-Sicherheitslücken einerseits aus, um die Überprüfung der Code-Integrität einer Anwendung bei der Installation zu umgehen (Master Key-Sicherheitslücke). Zum anderen dienen sie auch zur Erhöhung der Privilegien von Schadanwendungen, wodurch sich das Spektrum ihrer Möglichkeiten erheblich erweitert, sowie dazu, das Löschen von Schädlingen zu erschweren. So nutzt Svpeng zum Beispiel eine vorher unbekannte Schwachstelle aus, um sich vor manueller Entfernung oder dem Löschen durch ein Antivirus-Produkt zu schützen.
Mit Hilfe der Master-Key-Sicherheitslücke schleusen Cyberkriminelle außerdem nicht signierte ausführbare Dateien in die Installationspakete von Android-Programmen ein. Die Überprüfung digitaler Signaturen kann umgangen werden, indem man eine schädliche Datei genau so benennt wie eine legitime und sie auf derselben Archivebene anordnet. Das System überprüft die Signatur der legitimen Datei, doch installiert wird die schädliche.
Leider gibt es bei Android-Sicherheitslücken eine unangenehme Besonderheit – man wird sie nur los, indem man ein OS-Update vom Gerätehersteller installiert. Doch viele von ihnen lassen sich mit der Aktualisierung des Betriebssystems reichlich Zeit. Ist das Smartphone oder Tablet schon länger als ein Jahr auf dem Markt, so wurde der Support durch den Hersteller vermutlich schon eingestellt und man braucht nicht mehr auf das Schließen der Sicherheitslücken zu hoffen. In diesem Fall hilft nur eine Antiviren-Lösung wie Kaspersky Internet Security für Android.
Das Einschleusen von Schadcode in legitime Programme hilft dabei, eine Infektion vor dem Anwender zu verbergen. Selbstverständlich ermöglicht das nicht die Nutzung der digitalen Signatur des Entwicklers, doch da es keine Zertifizierungszentren für digitale Signaturen von Android-Programmen gibt, hindert die Cyberkriminellen niemand daran, ihre eigene Signatur zu installieren, was sie auch tun. Auf diese Weise kann zum Beispiel das populäre Android-Spiel Angry Birds, das aus einem nicht offiziellen App-Store oder einem Forum geladen und installiert wurde, zwar völlig problemlos funktionieren, allerdings auch über eine schädliche Funktionalität verfügen.
Möglichkeiten und Funktionalität
Im Jahr 2013 entdeckte Kaspersky Lab verschiedene technologische Neuheiten, die von Cyberkriminellen entwickelt und in ihrer Schadsoftware eingesetzt wurden. Die interessantesten stellen wir im Folgenden vor.
Die Steuerbarkeit von Schädlingen über nur ein einzelnes Kontrollzentrum gewährleistet maximale Flexibilität in der Anwendung eines Schadprogramms. Mit Hilfe von Botnetzen lassen sich deutlich höhere Gewinne erzielen als mit autonomen Trojanern. Daher überrascht es nicht, dass viele SMS-Trojaner auch noch über die Funktionalität von Bots verfügen. Nach den Einschätzungen der Kaspersky-Experten handelt es sich bei etwa 60 Prozent aller mobilen Schadprogramme um Elemente großer und kleiner mobiler Zombie-Netzwerke.
Die Steuerung über Google Cloud Messaging (GCM) macht einen C&C-Server komplett überflüssig, der stets potenziell von Entdeckung und Abschaltung durch Strafverfolgungsbehörden bedroht ist. Der Google-Dienst Cloud Messaging dient der Übertragung von kurzen, maximal 4 KB großen Mitteilungen auf das mobile Gerät über die Server von Google. Um diesen Dienst zu nutzen, muss sich ein Entwickler lediglich registrieren und erhält dann eine individuelle ID für seine Anwendungen. Über GCM erhaltene Befehle können auf einem infizierten Gerät nicht direkt blockiert werden.
Das Kaspersky-Team hat einige Schadprogramme entdeckt, die GCM zur Steuerung und Kontrolle einsetzen: der weit verbreitete Trojan-SMS.AndroidOS.FakeInst.a, Trojan-SMS.AndroidOS.Agent.ao, Trojan-SMS.AndroidOS.OpFake.a und viele mehr. Google geht konsequent gegen einen derartigen Missbrauch seines Dienstes vor und blockiert die IDs von Cyberkriminellen. Dabei reagiert das Unternehmen schnell auf entsprechende Benachrichtigungen von Antivirus-Unternehmen.
Angriffe auf Windows XP erlauben einem mobilen Schädling die Infektion eines PCs in dem Moment, in dem ein Smartphone oder Tablet daran angeschlossen wird. Zu Beginn des Jahres 2013 entdeckte das Kaspersky-Team zwei identische Anwendungen bei Google Play, die angeblich dazu dienen, das Android-Betriebssystem von überflüssigen Prozessen zu befreien. Tatsächlich besteht die Funktion dieser Apps jedoch im Download der Datei autorun.inf, einer Icon-Datei und einer Datei eines Win32-Trojaners, welche der mobile Schädling im Root-Verzeichnis der SD-Karte platziert. Beim Anschluss eines Smartphones im USB-Emulationsmodus an den Computer startet ein unter Windows XP laufendes System automatisch den Trojaner (wenn die Funktion Autostart von externen Speichermedien nicht deaktiviert ist) und wird damit infiziert. Der Trojaner ermöglicht es Cyberkriminellen, den infizierten Computer entfernt zu steuern und ist zudem in der Lage, Umgebungsgeräusche über das Mikrofon aufzunehmen. Diese Angriffsmethode funktioniert allerdings nur unter Windows XP und Android-Versionen bis einschließlich 2.2.
Die derzeit modernsten mobilen Schadprogramme sind Trojaner, die auf die attraktivste kriminelle Einnahmequelle abzielen, und zwar fremde Bankkonten.
Trend des Jahres: Mobile Bank-Trojaner
Das Jahr 2013 war von einer rasanten Zunahme von Bank-Trojanern für Android gekennzeichnet. Die Cyberindustrie mobiler Schadprogramme orientiert sich zunehmend an einer effektiven Gewinnerzielung – mobilem Phishing, Diebstahl von Kreditkarteninformationen, Geldüberweisung von Bankkarten auf das Handykonto und von dort in die Cyber-Geldbörse der Online-Kriminellen. Cyberkriminelle haben diese Arten des illegalen Broterwerbs wahrlich ausgebaut: Während zu Beginn des Jahres 67 Bank-Trojaner bekannt waren, so befanden sich zum Ende des Jahres bereits 1.321 individuelle Samples in unseren Datenbanken. Die mobilen Produkte von Kaspersky Lab verhinderten 2.500 Infektionen mit Bank-Trojanern.
Anzahl mobiler Bank-Trojaner in den Datenbanken von Kaspersky Lab
Mobile Bank-Trojaner können Hand in Hand mit Win32-Trojanern arbeiten. Solche Schädlinge werden eingesetzt, um die Zwei-Faktoren-Authentifizierung zu umgehen, indem sie mTAN-Nummern abfangen (Bestätigungscodes für Banktransaktionen, die von den Banken per SMS an ihre Kunden gesendet werden). Doch im vergangenen Jahr fanden auch die selbstständigen mobilen Bank-Trojaner immer weitere Verbreitung. Bisher greifen solche Trojaner nur die Kunden einer begrenzten Anzahl von Banken an. Doch das Kaspersky-Team erwartet, dass die Cyberkriminellen neue Techniken entwickeln werden, die es ihnen ermöglichen, ihre Machwerke sowohl quantitativ als auch geografisch weiter auszubreiten.
Infektionsversuche durch mobile Bank-Trojaner
Zum gegenwärtigen Zeitpunkt attackieren die meisten Bank-Trojaner Anwender in Russland und den GUS-Staaten. Allerdings wird sich das bald ändern. Berücksichtigt man das Interesse der Cyberkriminellen an den Bankkonten der Anwender, so ist im Jahr 2014 ein Anstieg der Aktivität mobiler Schädlinge auch in anderen Ländern zu erwarten.
Wie bereits oben erwähnt, sind die Bank-Trojaner von allen mobilen Bedrohungen wohl am komplexesten. Ein Beispiel dafür ist der Trojaner Svpeng.
Svpeng
Mitte Juli entdeckte Kaspersky Lab den Trojaner Trojan-SMS.AndroidOS.Svpeng.a, der im Gegensatz zu anderen Schädlingen des Typs Trojan-SMS nicht am Geld-Diebstahl von mobilen Konten, sondern von Bankkonten interessiert ist. Er ist der Selbstständigkeit beraubt und handelt strikt nach Vorgaben des C&C-Servers. Der Schädling verbreitet sich mit Hilfe von SMS-Spam und von legitimen, gehackten Webseiten, welche die mobilen Geräte der Besucher auf schädliche Ressourcen umleiten. Dort wird dem Anwender angeboten, einen als Update des Adobe Flash Players getarnten Trojaner zu laden und zu installieren.
Svpeng kann sehr viel.
Svpeng sammelt Informationen über das Smartphone (IMEI, Land, Mobilfunkanbieter, Sprache des Betriebssystems) und sendet sie dem Betreiber mittels einer HTTP POST-Anfrage. Allem Anschein nach ist das notwendig, um den Kreis der Banken zu bestimmen, bei denen der Ausspionierte ein Kunde sein könnte. Bisher trat Svpeng nur bei Angriffen auf die Kunden einiger weniger russischer Banken in Erscheinung, doch nichts hält die Cyberkriminellen davon ab, ihr Tätigkeitsfeld auf andere Länder auszuweiten, nachdem sie die Technologie in Russland getestet haben.
Svpeng stiehlt SMS und Anruf-Informationen. Auch das hilft den Cyberkriminellen herauszufinden, bei welchen Banken der Inhaber des Smartphones Kunde ist. Eine Liste der Bankennummern erhält der Trojaner von seinem C&C-Server.
Svpeng stiehlt Geld vom Bankkonto. In Russland bieten einige Großbanken ihren Kunden die Möglichkeit, mit Hilfe ihrer Bankkarte ihr Mobiltelefonkonto aufzuladen. Zu diesem Zweck muss der Bankkunde lediglich eine SMS mit einem bestimmten Inhalt von seinem Smartphone an eine spezielle Nummer der Bank senden. Svpeng verschickt SMS an die Adresse der SMS-Dienste zweier solcher Banken. Auf diese Art bringt der Betreiber von Svpeng in Erfahrung, ob mit der Nummer des infizierten Smartphones auch Karten dieser Banken in Verbindung stehen. Existiert ein Konto bei dem jeweiligen Institut, können die Übeltäter Informationen über den Kontostand abgreifen und Svpeng anschließend den Befehl erteilen, Geld vom Bankkonto auf das mobile Konto des Opfers zu überweisen. Im Folgenden gibt es verschiedene Möglichkeiten, das Geld vom mobilen Konto abzuzapfen, beispielsweise durch Überweisung auf ein E-Wallet über das Personal Cabinet im System des Mobilfunkanbieters oder durch das banale Versenden von Mitteilungen an Premium-Nummern.
Svpeng stiehlt Anmeldedaten zu Online-Banking-Systemen, indem er das Fenster der Bankanwendung austauscht. Bisher ist uns nur der Austausch von Anwendungen russischer Banken bekannt, doch technisch ist Svpeng in der Lage, Fälschungen von beliebigen anderen Bank-Apps herzustellen.
Svpeng stiehlt Kreditkartendaten (Nummer, Ablaufdatum, CVC2/CVV2) unter dem Vorwand, dass die Karte für Google Play verwendet werden soll. Bei dem Versuch, die Anwendung Play Market zu starten, fängt der Trojaner dieses Ereignis ab und zeigt über dem tatsächlichen Fenster von Google Play sein eigenes Fenster „Kreditkarte hinzufügen“ in der Sprache des Systems an und fordert den Nutzer auf, seine Kreditkartendaten dort einzutragen. Alle eingegebenen Daten werden umgehend an die Cyberkriminellen geschickt.
Svpeng erpresst den Anwender, indem er ihm mit Blockierung des Smartphones droht und eine Lösegeldforderung über 500 US-Dollar für die Entsperrung stellt. Tatsächlich blockiert der Trojaner rein gar nichts, denn das Telefon funktioniert weiterhin störungsfrei.
Svpeng verwischt die Spuren seiner Aktivität, indem er die verschickten und erhaltenen SMS tarnt und zudem Aufrufe und Mitteilungen von den Nummern der Banken blockiert. Eine Liste dieser Nummern erhält der Trojaner ebenfalls von seinem C&C-Server.
Svpeng schützt sich vor dem Löschen, indem er bei der Installation die Rechte des Geräteadministrators verlangt. Als Folge davon wird in der Anwendungsliste die Schaltfläche „Entfernen“ für den Trojaner deaktiviert, was für einen unvorbereiteten Anwender ein Problem darstellen kann. Svpeng diese Rechte wieder zu entziehen, wird ohne Anwendung spezieller Mittel (wie sie etwa Kaspersky Internet Security für Android beherrscht) nicht gelingen. Zum Schutz vor dem Löschen nutzt Svpeng eine vorher unbekannte Android-Sicherheitslücke aus. Auf dieselbe Weise versucht er das Zurücksetzen auf die Werkseinstellungen des Smartphones zu verhindern.
Dieser Trojaner ist in Russland und den GUS-Staaten verbreitet. Doch wie wir bereits erklärten, könnten ihn Cyberkriminelle ohne Probleme auch gegen Anwender in anderen Ländern einsetzen.
Perkele und Wroba
Auch Anwendern außerhalb Russlands wurden verschiedene schädliche Neuheiten zugesandt, die es auf ihre Bankkonten abgesehen hatten.
Der Android-Trojaner Perkele greift nicht nur die Kunden russischer, sondern auch einiger europäischer Banken an. Interessant macht ihn in erster Linie das, was er in Verbindung mit verschiedenen Win32-Banktrojanern anstellt. Seine Hauptaufgabe besteht im Umgehen der Zwei-Faktoren-Authentifizierung des Kunden beim Internet-Banking.
Aufgrund seiner Spezialisierung verbreitet sich Perkele mittels einer ungewöhnlichen Methode. Ein Bankenschädling, der einen PC bereits infiziert hat (ZeuS, Citadel), schleust beim Besuch der Internetbanking-Webseite in den zu ladenden Code der Authentifizierungsseite eine Anfrage nach der Smartphone-Nummer und dem Betriebssystemtyp ein. Nach der Eingabe landen alle Informationen bei den Cyberkriminellen, und auf dem Computerbildschirm wird ein QR-Code mit einem Link angezeigt, der angeblich auf das Zertifikat der Internetbanking-Webseite verweist. Nachdem der Anwender den QR-Code gescannt und die über den Link geladene Komponente installiert hat, infiziert er sein Smartphone mit einem Trojaner, der über eine für Cyberkriminelle überaus interessante Funktionalität verfügt.
Perkele fängt mTAN-Nummern (Bestätigungscodes für Banktransaktionen) ab, die von der Bank via SMS verschickt werden. Unter Verwendung der aus dem Browser gestohlenen Login-Daten initiiert der Windows-Trojaner eine gefälschte Transaktion, und Perkele fängt die von der Bank gesendete mTAN ab. Das Geld des Opfers verschwindet so spurlos von seinem Konto.
Der koreanische Schädling Wroba verbreitet sich neben den traditionellen Infektionswegen über Filesharing-Dienste auch mit Hilfe alternativer App-Stores. Nach Infektion des Gerätes verhält sich Wroba äußerst aggressiv. Der Schädling sucht nach installierten Online-Banking-Anwendungen, löscht diese und lädt im Gegenzug entsprechende gefälschte Apps. Äußerlich sind sie nicht von den legitimen Anwendungen zu unterscheiden, allerdings haben sie keinerlei Banking-Funktionen, sondern stehlen lediglich die eingegebenen Login-Daten.
Top 10 der mobilen Bedrohungen im Jahr 2013
Name
Prozentualer Anteil an allen Attacken
1
DangerousObject.Multi.Generic
40,42%
2
Trojan-SMS.AndroidOS.OpFake.bo
21,77%
3
AdWare.AndroidOS.Ganlet.a
12,40%
4
Trojan-SMS.AndroidOS.FakeInst.a
10,37%
5
RiskTool.AndroidOS.SMSreg.cw
8,80%
6
Trojan-SMS.AndroidOS.Agent.u
8,03%
7
Trojan-SMS.AndroidOS.OpFake.a
5,49%
8
Trojan.AndroidOS.Plangton.a
5,37%
9
Trojan.AndroidOS.MTK.a
4,25%
10
AdWare.AndroidOS.Hamob.a
3,39%
1. DangerousObject.Multi.Generic. Bei Programmen mit dieser Bezeichnung ist das schädliche Wesen der Anwendung bereits bekannt, die Nutzer von Kaspersky-Produkten haben jedoch aus bestimmten Gründen noch nicht die entsprechende Erkennungssignatur erhalten. In diesem Fall erfolgt die Erkennung über die Cloud-Technologien von Kaspersky Lab, die es unseren Produkten ermöglichen, schnell auf neue und unbekannte Bedrohungen zu reagieren.
2. Trojan-SMS.AndroidOS.OpFake.bo. Ein Vertreter komplexer SMS-Trojaner. Trojan-SMS.AndroidOS.OpFake.bo zeichnet sich durch eine schön gestaltete Oberfläche und durch die Gier seiner Entwickler aus. Der Start des Trojaners kostet den Besitzer des Telefons Geld, und zwar zwischen neun US-Dollar und dem gesamten Guthaben, das der Nutzer auf seinem Handy gespeichert hat. Zudem besteht das Risiko, dass die Telefonnummer in Misskredit gebracht wird, da der Trojaner Nummern aus dem Telefonbuch stehlen und willkürliche Nachrichten an diese versenden kann. Dieser Schädling wird in erster Linie gegen russischsprachige Anwender und Anwender aus den GUS-Staaten eingesetzt.
3. AdWare.AndroidOS.Ganlet.a. Ein Werbemodul, das in der Lage ist, andere Anwendungen zu installieren.
4. Trojan-SMS.AndroidOS.FakeInst.a. Dieser Trojaner entwickelte sich im Laufe der letzten zwei Jahre von einem einfachen SMS-Versender zu einem vollwertigen Bot, der über verschiedene Kanäle gesteuert werden kann (unter anderem mit Hilfe von Google Cloud Messaging). Trojan-SMS.AndroidOS.FakeInst.a kann Geld vom Guthaben des Mobilfunkkunden stehlen und Mitteilungen an alle Kontakte der betroffenen Person versenden.
5. RiskTool.AndroidOS.SMSreg.cw. Ein in China überaus weit verbreitetes Bezahlmodul, das in verschiedene Spiele integriert ist – zur Abwicklung von Einkäufen innerhalb der Anwendung via SMS. Der Schädling löscht die Bestätigungs-SMS vom Rechnungssystem ohne Wissen des Anwenders – er weiß nicht, dass von seinem mobilen Konto Geld gestohlen wurde, solange er seine Umsätze nicht überprüft.
6. Trojan-SMS.AndroidOS.Agent.u. Der erste Trojaner, der eine Sicherheitslücke im Betriebssystem Android ausnutzt, um die Rechte eines Geräteadministrators zu erhalten, und auf diese Weise seine eigene Löschung erheblich erschwert. Darüber hinaus kann er eingehende Anrufe ablehnen und selbstständig telefonieren. Möglicher Schaden, der aus einer Infektion resultieren kann: Die Versendung von SMS-Nachrichten zum Preis von insgesamt neun US-Dollar.
7. Trojan.AndroidOS.Plangton.a. Ein Werbemodul, das ohne Vorwarnung persönliche Informationen des Anwenders an den Server des Werbegebers weitergibt – unter dem Deckmantel der zielgerichteten Werbung. Schaden: Diskreditierung der Handynummer, des Google-Accounts und einiger anderer Daten. Zudem ändert dieser Trojaner ohne Wissen des Anwenders die Startseite des Browsers und fügt Werbe-Lesezeichen hinzu.
8. Trojan-SMS.AndroidOS.OpFake.a. Multifunktionaler Bot, der bei der Verbreitung des komplexen Android-Schädlings Backdoor.AndroidOS.Obad.a hilft. Gemeinsam bilden sie ein Programm-Duo, das für die Anwender aus den folgenden Gründen überaus gefährlich ist:
Trojan-SMS.AndroidOS.OpFake.a verfügt über weitreichende Möglichkeiten: Diebstahl persönlicher Daten und Versand von SMS mit vorgegebenem Text an beliebige Nummern. Die Installation einer solchen Anwendung kann zur kompletten Räumung des mobilen Kontos führen. Es besteht das Risiko der Diskreditierung der mobilen Nummer, wenn den gestohlenen Kontakten SMS im Namen des Opfers geschickt werden. Zudem wird die Kontaktliste an den Server der Cyberkriminellen geschickt.
Trojan-SMS.AndroidOS.OpFake.a setzt überdurchschnittlich komplexe Selbstschutzmechanismen ein. Dank der Ausnutzung einer Android-Sicherheitslücke lässt sich dieser Trojaner ohne den Einsatz spezieller Programme, wie etwa KIS für Android, nicht löschen.
Bemerkenswert ist, dass Trojan-SMS.AndroidOS.OpFake.a geografisch weiter verbreitet ist als die Spitzenreiter der Top-10-Liste. Die Kaspersky-Experten registrieren Infizierungsversuche häufig nicht nur in den GUS-Staaten, sondern auch in Europa.
9. Trojan.AndroidOS.MTK.a. Komplexer Trojaner mit umfangreicher Funktionalität und ausgeklügelten Verschlüsselungsmethoden. Seine Hauptaufgabe besteht im Starten heruntergeladener Schadanwendungen.
10. AdWare.AndroidOS.Hamob.a. Unter dem Deckmantel legitimer Programme verbreitete Werbeanwendung (unter Verwendung der entsprechenden Bezeichnungen und Icons, beispielsweise WinRAR), wobei die einzige Funktionalität tatsächlich im Zeigen von Werbung besteht.
In den Top 10 sind vier SMS-Trojaner vertreten, doch ein wesentlicher Teil dieser Trojaner verfügt auch über Steuerungsmechanismen, das heißt mit ihnen infizierte Rechner werden zu Bots.
Geografie der Bedrohungen
Mapa de intentos de infección por programas maliciosos móviles
(porcentaje de usuarios únicos)
Infektionsversuche mit mobilen Schädlingen
Land
Prozentualer Anteil aller angegriffenen Anwender
1
Russland
40,34%
2
Indien
7,90%
3
Vietnam
3,96%
4
Ukraine
3,84%
5
Großbritannien
3,42%
6
Deutschland
3,20%
7
Kasachstan
2,88%
8
USA
2,13%
9
Malaysia
2,12%
10
Iran
2,01%
Bei der Verteilung mobiler Bedrohungen gibt es regionale Unterschiede, denn die Cyberkriminellen setzen in verschiedenen Regionen und Ländern auch verschiedene Kategorien von mobilen Schädlingen ein. Hier einige Beispiele für Länder aus unterschiedlichen Regionen der Welt.
Russland
In Russland sind die Cyberkriminellen besonders aktiv, was mobile Schädlinge betrifft – 40,3 Prozent aller im Jahr 2013 angegriffenen Anwender befanden sich auf russischem Territorium.
Top 5 der in Russland verbreiteten mobilen Schädlingsfamilien:
Familie
Prozentualer Anteil aller angegriffenen Anwender
Trojan-SMS.AndroidOS.OpFake
40,19%
Trojan-SMS.AndroidOS.FakeInst
28,57%
Trojan-SMS.AndroidOS.Agent
27,11%
DangerousObject.Multi.Generic
25,30%
Trojan-SMS.AndroidOS.Stealer
15,98%
Wie auch schon im Vorjahr führt Russland nach Anzahl der Infektionsversuche mit SMS-Trojanern, und es deutet nichts darauf hin, dass sich diese Situation ändern wird. Wie bereits oben angemerkt, richtet sich die Mehrheit der mobilen Bank-Trojaner gegen Russland.
Russland und die GUS-Staaten dienen häufig als Versuchskaninchen für neue Technologien: Haben sie eine Technologie im russischen Internetsegment – dem Runet – ausreichend getestet, so beginnen die Cyberkriminellen sie auch in Attacken auf Anwender in anderen Ländern einzusetzen.
Deutschland
Deutschland ist eines der westeuropäischen Länder, in denen Schädlinge des Typs Trojan-SMS ihr Unwesen treiben. Russische Virenschreiber orientierten sich im Jahr 2013 auch nach Europa, da das Monetisierungsschema unter Versendung von SMS an Premium-Nummern in dieser Region funktioniert. Kaspersky Lab registrierte in Deutschland aktive Infektionsversuche mit Trojan-SMS, insbesondere mit Schädlingen der Familie Agent.
Zudem werden in Deutschland aktiv mobile Bank-Trojaner eingesetzt: Unter den westeuropäischen Ländern belegt Deutschland den ersten Platz nach Zahl der individuellen angegriffenen Anwender (Position sechs im weltweiten Rating).
Top 5 der in Deutschland verbreiteten mobilen Schädlingsfamilien:
Familie
Prozentualer Anteil aller angegriffenen Anwender
RiskTool.AndroidOS.SMSreg
25,88%
DangerousObject.Multi.Generic
20,83%
Trojan-SMS.AndroidOS.Agent
9,25%
Trojan.AndroidOS.MTK
8,58%
AdWare.AndroidOS.Ganlet
5,92%
USA
In den USA sieht es anders aus. In diesem Land gibt es kein Monetisierungsschema via SMS, daher gibt es auch keine klare Vorherrschaft mobiler Schädlinge der Kategorie Trojan-SMS. Unter den Spitzenreitern sind vielmehr Bots, die Daten über die infizierten Smartphones sammeln.
Top 5 der in den USA verbreiteten mobilen Schädlingsfamilien:
Familie
Prozentualer Anteil aller angegriffenen Anwender
DangerousObject.Multi.Generic
19,75%
RiskTool.AndroidOS.SMSreg
19,24%
Monitor.AndroidOS.Walien
11,24%
Backdoor.AndroidOS.GinMaster
8,05%
AdWare.AndroidOS.Ganlet
7,29%
China
In China gibt es sehr viele Werbemodule, die in saubere und auch in schädliche Anwendungen integriert werden. Die Funktionalität der Werbemodule ist sehr umfassend – bis hin zum Download eines Schädlings auf das Telefon. Für China sind zudem SMS-Trojaner und Backdoors charakteristisch.
TOP 5 der in China verbreiteten mobilen Schädlingsfamilien:
Familie
Prozentualer Anteil aller angegriffenen Anwender
RiskTool.AndroidOS.SMSreg
46,43%
AdWare.AndroidOS.Dowgin
19,18%
DangerousObject.Multi.Generic
13,89%
Trojan-SMS.AndroidOS.Agent
10,55%
Trojan.AndroidOS.MTK
10,13%
Fazit
Malware, die Bankkonten mobiler User angreift, entwickelt sich fortwährend weiter, und auch ihre Zahl steigt laufend. Diese Tendenz wird sich ganz offensichtlich fortsetzen: Es wird immer mehr mobile Bank-Trojaner geben und sie werden neue Technologien einsetzen, die ihre Erkennung und Entfernung erschweren.
Unter den im Jahr 2013 entdeckten mobilen Schädlingssamples herrschen die Bots vor. Cyberkriminelle haben die Vorteile mobiler Botnetze in vollem Maße schätzen gelernt. Möglich ist das Auftreten neuer Steuerungsmechanismen für mobile Zombie-Netzwerke.
Die Experten von Kaspersky Lab erwarten, dass im Jahr 2014 viele Sicherheitslücken verschiedener Art ausgenutzt werden, die es Schadsoftware ermöglichen, sich auf mobilen Geräten einzunisten und die Entfernung erschweren.
Im Jahr 2013 stieß das Kaspersky-Team auf den ersten Fall, in dem ein PC von einem mobilen Gerät angegriffen wurde. Wir schließen für die Zukunft auch Attacken unter Verwendung von WLAN nicht aus – vom mobilen Gerät auf die nächstgelegenen Workstations und die Infrastruktur insgesamt.
Aller Wahrscheinlichkeit nach wird die Kategorie Trojan-SMS wie gehabt unter allen Arten von Schadprogrammen eine Führungsposition einnehmen und neue Territorien erobern.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt