Mobile Malware

Mobile Malware

Gerüchte um Android Botnet bewahrheiten sich nicht

Seit Anfang Juli kursieren widersprüchliche Diskussionen um die Frage, ob Smartphones von Android Botnets gekapert wurden. Die These erschien zunächst in einem Security-Blog des Microsoft Sicherheitsfachmans Terry Zink.

Blog-Beitrag löst Diskussion um Anfälligkeit von Android-Geräten für Botnets aus

Aufgrund einer Analyse massenhaft verschickter Spam-Mails ging Zink davon aus, dass die Android-Technologie für illegale Vernetzung missbraucht werde. In einem zweiten Blog-Eintrag korrigierte Zink seine Aussagen. Tests hätten ergeben, dass die Attacken mit Spam Mails zwar wahrscheinlich von Android-Geräten stammten, man habe dies aber nicht beweisen können. Die IDs hätten es aber ermöglicht, die Herkunft der Spam-Mails zu orten. Sie sollen aus China, Russland, Chile oder der Ukraine versandt worden sein.

Fälschung im Header könnte irreführend auf Androids als Ursprung hinweisen

Google reagierte umgehend auf die Thesen in dem Microsoft-Sicherheitsblog mit Ergebnissen aus eigenen Analysen. Demnach handele es sich um ein einfaches, von einem Desktop-Rechner ausgehendes Botnet. Dieses benutze gefälschte mobile Signaturen, um Anti-Spam-Software zu umgehen. Die Message-ID des Headers und ein zusätzlicher Hinweis lauteten „Sent from Yahoo! Mail on Android“. Derartige Angaben können aber von Hackern leicht gefälscht werden.

Bisher keine Beweise für Android Botnet

Eindeutige Beweise für ein kriminelles Android Botnet gibt es bislang nicht. Da die Spam-Mail von einer bezahlten App ausgesandt wurden, gehen andere Sicherheitsexperten inzwischen davon aus, dass die Yahoo Mail-App dafür genutzt wurde. Probleme habe man identifiziert, aber solange es keine konkreten Ergebnisse gebe, werde man keine weiteren Einzelheiten bekannt geben, teilte der Hersteller mit.

Das Sicherheitsrisiko für Androiden nimmt zu

Schon seit längerem werden zunehmend bösartige Anwendungen für Androids entdeckt. Sicherheitsfirmen nehmen sogar an, dass bis Ende 2012 bis zu 130.000 Malwares für Androids den Markt der Apps verseuchen werden. Angesichts des erhöhten Sicherheitsrisikos wurde inzwischen in den USA das erste Rootkit für Androids vorgestellt.

Malware für Android wid mehr: Neue SpyEye Variante entdeckt

Die gesteigerte Nutzung der Smartphones im Bereich Online-Banking und anderen datenkritischen Bereichen hat natürlich auch die "dunkle Seite" der Internetbevölkerung auf den Plan gerufen. Es kommt immer häufiger vor, dass Schadsoftware gezielt für die Anwendungen und Nutzer der mobilen Endgeräte entwickelt werden. Besonders Android gilt hier aufgrund der Anzahl der Nutzer als besonders attraktiv für kriminelle Bewegungen. Für das System ist nun ein neuer Trojaner bekannt geworden, der sich auf das Ausspionieren von Bankdaten spezialisiert hat.

Neue Variante des SpyEye Android Trojaners

Bereits seit einigen Monaten ist bekannt, dass immer mehr Trojaner und andere Schadsoftware über verschiedenste Quellen auf die Geräte der Anwender kommen. Der SpyEye Trojaner gilt dabei bereits beinahe als klassisches Beispiel für Schadsoftware auf mobilen Endgeräten. In den ersten Versionen wurden vor allem private Daten ausspioniert, die neue Variante hat sich aber einem eher kommerziellen Ziel verschrieben. Nach einer Analyse der Firma für Sicherheit, Doctor Web, hat sich die neue Variante vor allem auf das Ausspionieren von Bankdaten, in diesem Fall mobilen Tans spezialisiert. Dafür geht der Trojaner eigentlich immer gleich vor. Der Virus tarnt sich auf dem System des Anwenders als Android Premium Suite und verfügt dabei über einen großen Schild, der als Appsymbol dient. Wenn der Anwender die App aktiviert wird ein Einsatzcode ausgeführt und spätestens ab diesem Moment ist die Schadsoftware auf dem Smartphone aktiv.

Da immer mehr Menschen die Vorteile von mobilem Banking auf dem Smartphone nutzen, setzt der Trojaner genau an diesem Punkt ein. Viele Banken nutzen das mobile Tan System, bei dem die Tans für das Online Banking per SMS verschickt werden, für ihre Nutzer. Der Trojaner überwacht daher nicht nur ausgehende Gespräche und andere Vorgänge auf dem Telefon, sondern leitet ganze SMS an eine andere Nummer weiter. Sofern also im richtigen Moment von den Programmierern des Systems eine TAN abgefangen wird, könnte dies zu einem Problem mit dem eigenen Bankkonto führen.

Den SpyEye Trojaner erkennen und vom System entfernen

Das eigentliche Problem ist der Fernzugriff, der durch den Trojaner ermöglicht wird. Die Kriminellen können zu jeder Zeit auf den Trojaner zugreifen und diesen daher als Steuerungssystem für das Smartphone einsetzen. Die Daten werden auf einen externen Server geladen und somit ein ganzes Nutzerprofil des Besitzers angelegt. Wer die Schadsoftware als solche auf dem eigenen System erkennt, hat verschiedene Methoden, sie wieder loszuwerden. Die einfachste Methode wäre ein Rücksetzen des Smartphones auf die Werkseinstellung. Dafür sollte man jedoch ein Sicherheits-Back-up der bestehenden Daten anfertigen, ohne den Trojaner dabei mitzusichern. Um sich künftig gegen solche Software zu schützen, sollte man Apps nur aus vertrauenswürdigen Quellen, wie zum Beispiel dem Google Play Store, herunterladen. Auch eine Sicherheitslösung für das Smartphone sollte in der heutigen Zeit in jedem Fall zu den typischen Apps auf dem eigenen Gerät gehören.

Ein Beispiel für eine Sicherheitssoftware, die in den letzten Tests sehr gut abgeschnitten hat, ist die Mobile Security von Kaspersky, die es auch in einer kostenlosen Lite-Variante gibt.

Android Malware Report

Der Hersteller von Antivirensoftware Bitdefender hat den neuesten Android Malware Report veröffentlicht.
Das von Google entwickelte und herausgegebene mobile Betriebssystem Android erfreut sich großer Beliebtheit.  Nach letzten statistischen Erhebungen sind bereits 40% aller Handys in Deutschland mit der Software ausgestattet. Angesichts dieser Tatsache ist es wohl wenig verwunderlich, dass auch Hacker die Plattform für sich entdeckt haben. Das liegt auch daran, dass die Telefone im Gegensatz zum Computer nur über eine rudimentäre Firewall verfügen und eine Verbreitung so viel einfacher möglich ist. Ebenfalls hilfreich ist Google's hauseigener App-Store, über den viele Nutzer sich die Schadsoftware sozusagen "freiwillig" als getarnte App herunterladen.

Mulad.A am weitesten verbreitet

Die von Bitdefender herausgegebene Liste "Android Malware Report" beinhaltet die zehn meist verbreiteten Viren, Trojaner und Malwares, wobei die beiden vordersten Plätze, die Adware Android.Mulad.A und der Trojaner Android.FakeDoc.A, eine Verbreitung von über 26% erreichen. Im Durchschnitt ist also jedes vierte Smartphone mit der Schadsoftware infiziert.

Die ständige Online-Verbindung ist ein Problem.

Während die ersten Smartphones sich noch automatisch vom Netz trennten, wenn der Nutzer keine Daten sendete oder empfing, ist dieser Schutzmechanismus heute nicht mehr üblich. Wer ein Smartphone hat, ist ständig online. Das führt wiederum zu der Problematik, dass vielen Angreifern damit Tür und Tor geöffnet wird. Besonders sogenannte "Driv-by-Downloads", die als Update getarnt im Hintergrund schädliche Apps herunterladen, werden sich in nächster Zeit immer weiter verbreiten.

Vorsicht vor dubiosen Apps

Generell raten die Sicherheitsexperten von Bitdefender beim Installieren und Herunterladen von Apps unbekannter Herausgeber zur Vorsicht. Ein guter Hinweis auf einwandfreie Funktion der Applikationen und ein erstes Indiz für Schadsoftware seien die Kommentare und Bewertungen des App-Portals. Durch aufmerksames Lesen der Benutzermeinungen könne man schon viele schwarze Schafe enttarnen, rät der Sicherheitsexperte.

Neue ZitMo-Variante auf dem Vormarsch!

Längst nicht mehr sind nur PC-Nutzer von Angriffen aus dem Web betroffen. Auch Smartphone-Besitzer sehen sich immer häufiger diesen Gefahren gegenüber. Eine bereits bekannte Schad-Software nennt sich Zeus-in-the-Mobile, kurz ZitMo, und kommt in der neuesten Version besonders unscheinbar daher. So tarnt sie sich als AntiVirus-App, weshalb es mittlerweile schon viele Betroffene zu beklagen gibt. Betroffen sind in erster Linie Android-Smartphones.

ZitMo-Version tarnt sich als antiviren App

Immer wieder schaffen es Kriminelle, neue Schadsoftware für Smartphones zu entwickeln, die teilweise horrenden finanziellen Schaden bei den jeweiligen Opfern verursachen können. Die neueste Ausführung der ZitMo-Anwendung tarnt sich unter dem Deckmantel der "Android Security Suite Premium", was wohl mit der Hauptgrund zu sein scheint, weshalb schon so viele Personen auf die Masche hereingefallen sind. Das gefährliche an dieser Software ist es, das alle eingehenden Kurzmitteilungen auf sensible Daten hin untersucht und selbige dann an einen Remote-Server weitergeleitet werden. Darüber hinaus kann der Kriminelle Befehle an das Smartphone senden, die dann das Löschen von Programmen veranlassen können. Bereits im Juli des vergangenen Jahres stellte eine ZitMo-Variante die Mobilfunk-Welt auf den Kopf. Anfangs wusste man nicht mit diesem Problem umzugehen. Die Kriminellen machen es sich hierbei zunutze, dass Sicherheitslösungen für Smartphones gegenwärtig noch nicht so ausgereift scheinen, wie dies beispielsweise im PC-Sektor der Fall ist. Viele Nutzer sind sich der Gefahr darüber hinaus nicht bewusst. Der Zugriff auf die besagten Kurzmitteilungen wird allerdings nur dann möglich, wenn man die entsprechende App aus dem Store des jeweiligen Anbieters von Android-Geräten herunterlädt. Bis eine Lösung gefunden wird, sollte man sich demnach die ausgewählten Programme zwei Mal anschauen.

Bootkit für Android entdeckt

Viele Smartphone Besitzer glauben, dass nur ein Computer von einem Virus infiziert werden kann, aber das stimmt nicht. Für Handys die unter Googles beliebtem Betriebssystem Android laufen gibt es mittlerweile jede Menge Malware. Nun wurde jüngst allerdings ein Bootkit speziell für Android Smartphones entdeckt.

Android ist das beliebteste Betriebssystem

In letzter Zeit wird Android, obwohl es ein -vermeintlich- sicheres Linux Betriebssystem ist, immer öfter Zielscheibe von Malware. Der Grund liegt ganz einfach darin, dass es das am weitesten verbreitete Betriebssystem für Smartphones ist und in den Industrienationen mittlerweile fast jeder dritte ein Smartphone besitzt, weshalb es für Kriminelle durchaus attraktiv ist. Deshalb konnte das Sicherheitsunternehmen NQmobile, welches auf mobile Antivirensoftware spezialisiert ist, bereits verschiedene Schädlinge der DroidKungFu Familie feststellen.

Manipulierte Apps infizieren das Smartphone

Die neue Malware heißt DKFBootKit und wird über manipulierte Apps auf dem Android-Handy installiert. Dabei wird das eigentliche Installationspaket der App entpackt und mit der Malware neu verpackt. Damit das Bootkit sich auch richtig verbreiten kann, werden gerootete Handys bevorzugt. Ein Beispiel dafür ist die kostenpflichtige Premium-Version des ROM Manager, welche sehr häufig missbraucht wird. Bei der Installation der App werden bereits systemweite Administratorenrechte angefordert, um einen Hintergrunddienst zu installieren, der dann ein Programm startet. Dieses hängt die Systempartition von Android als beschreibbar ein und kopiert sich dann in das Verzeichnis /system/lib. Zudem werden die Systemprogramme ifconfig und mount überschrieben und die zugehörigen Dienste manipuliert. So wird das Bootkit bei jedem Systemstart gleich mitgestartet.

Warten auf Befehle

Nun startet sich das Bootkit bei jedem Systemstart und führt vorher definierte Befehle aus, noch bevor überhaupt eine Oberfläche, wie HTC Sense oder Samsungs Touchwiz, geladen ist. Die Befehle erhält der Virus dabei von einem C&C Server. Dank der Tatsache, dass das Bootkit und die darin enthaltenen Trojaner-Bestadteile mit Root-Rechten laufen, macht die Malware besonders gefährlich. weiter bösartige Apps installieren oder Mails lesen sind da noch harmlos. Der Kreativität der Kriminellen, die solche Malware auf einem Handy installieren sind hier kaum Grenzen gesetzt.

Ein wirksamer Schutz ist, wirklich nur bekannte und vertrauenswürdige Apps zu installieren und die Finger von allen anderen zu lassen, ganz besonders wenn diese Rechte einfordern, die für den Zweck für den die App geschrieben ist ungewöhnlich ist. Die Entdecker des Bootkits, NQmobile sind inzwischen auch in der Lage, Infektionen mit DKFBootKit zu entdecken. Sie könnn sich den kostenlosen Virensanner von NQmobile hier herunterladen.