Smartphones erfreuen sich wachsender Beliebtheit. Eine von Google in fünf Ländern durchgeführte Umfrage beweist dies: In Deutschland etwa stieg die Zahl der Smartphone-Besitzer von Januar 2011 bis Oktober um fünf Prozent auf insgesamt 23 Prozent der Bevölkerung.
Entsprechend diesem Trend nehmen auch die Gefahren für die mobilen Geräte zu. Mittlerweile gelten für die Mobilgeräte und Tablets dieselben Gefährdungsszenarien wie man sie aus der PC-Welt kennt. Die folgenden fünf Angriffsmuster zeigen die Ähnlichkeiten auf:

• Vor mehr als fĂĽnf Jahren nutzten Cyberkriminelle umkonfigurierte Modems, um Bezahldienste und Ferngespräche fĂĽr ihre Zwecke zu nutzen. Heute versucht mobile Schadsoftware häufig, Nutzer dazu zu verleiten, solche Bezahldienste zu abonnieren.
• Etwa zwanzig Jahre lang verbreiteten vor allem Viren Angst und Schrecken, danach waren es WĂĽrmer, und heute sind es in erster Linie Trojaner-Downloader fĂĽr den einmaligen Gebrauch. All diese Mittel hatten nur ein Ziel, die Opfersysteme möglichst dauerhaft zu infizieren und zu kompromittieren. Auf den mobilen Plattformen gibt es bereits Trojaner fĂĽr den Datendiebstahl, die sich als nĂĽtzliche App tarnen und im Stillen Daten sammeln und weiterleiten.
• Mehrstufige und zwischen PC und mobilen Geräten wechselnde Bedrohungen gibt es bereits. Einige Varianten des Bank-Schädlings ZeuS ĂĽberwacht den PC und die Online-Transaktionen. Entdeckt er eine Anfrage fĂĽr eine zweite ĂśberprĂĽfung schickt er einen Facebook-Link an das Smartphone des Opfers, um so Daten abzuziehen und einen vollständigen Zugriff auf die Online-Finanzdaten zu erhalten.
• Fast jeder Nutzer empfängt in der einen oder anderen Form E-Mails auf seinem Mobilgerät, die im Prinzip die Aktivitäten auf dem Desktop widerspiegeln. Daher sind auch diese Mails denselben Phishing- und Spam-Attacken ausgesetzt wie auf dem PC.
• Von Exploits und Angriffen wie Man-in-the-Middle und solche auf SSL-Verbindungen ist in Verbindung mit PCs immer wieder die Rede. Da heutige Smartphones viel schneller sind als die „alten“ PCs, kleinere Bildschirme haben, und es keine „ausgewachsenen“ Werkzeuge gibt, die erforschen können, was im Hintergrund läuft, merken die Nutzer von Tablets oder Smartphones meist nicht, wenn sie angegriffen werden.

Im Zuge der BYOD (Bring-Your-Own-Device)-Strategien kommen die mobilen Geräte in die Unternehmen. Doch werden sie nicht mit derselben Sorgfalt gesichert wie PCs, Laptops oder Desktops, deren Nutzung von Policies und Richtlinien geregelt wird.

Um nicht zum Opfer zu werden, ist Nutzern dringend zu empfehlen, auch ihre mobilen Geräte mit Anti-Malware- und Content-Filtering-Lösungen zu schützen. Ebenso wichtig ist es , die Firmware und die mobilen Apps auf aktuellem Stand zu halten. Weitere Gedanken und Tipps zum Thema bieten die Einträge: „Die Gefahr durch Android-Malware wächst auch 2012“ sowie „2011 in Review: Mobile Malware“.

Im Android Market sind verschiedene Apps aufgetaucht, in die eine so genannte Plankton-Variante eingebettet ist, mit deren Hilfe Werbung auf das mobile Gerät geschoben wird. Auch eine Verknüpfung mit einer Suchmaschine wird hergestellt, und entsprechende Einträge in die Favoritenliste des Browsers vorgenommen.
Verschiedene Berichte sprechen über „den bislang größten Android Malware-Ausbruch überhaupt“, denn Millionen von Apps-Downloads enthalten ähnlichen verdächtigen Code. Plankton startet einen Dienst, der Shortcuts erzeugen, Lesezeichen setzen/holen, Geräteinformationen an seine Server schicken kann oder Benachrichtigungen sowie eine neue Homepage aufsetzt.
Trend Micro hat ein Puzzle namens Sexy Ladies-e.apk untersucht und darin ANDROIDOS_PLANKTON.P gefunden, eine Variante, die auch in mehreren anderen Apps auch enthalten ist. Nach der Analyse kommen die Experten zu dem Schluss, dass Plankton nicht unter Malware sondern als Adware, genauer als „mobile App Adware“, einzuordnen ist, denn der Code wird „nur“ für unerwünschte Werbung genutzt, die über den von Plankton aufgesetzten Such-Shortcut weitergeleitet wird. Es fließen auch keine persönlichen Daten an den externen Server, sondern die Apps-Entwickler wollen mit ihren kostenlosen Apps mehr Geld verdienen.

Keine Malware, aber trotzdem riskant

Die Forscher von Lookout Mobile Security kommen zu dem Schluss, dass es eine „aggressive Form eines Werbenetzwerks“ sei. Dieser Einschätzung schließt sich Threat Response Engineer Erika Mendoza von Trend Micro an und fügt hinzu: “Doch es bleibt dem Nutzer überlassen, ob er dieses lästige Verhalten als bösartig empfindet.“ Die Experten geben aber zu bedenken, dass es auch darum geht, „wie mobile Informationen gesammelt und gespeichert werden“. Und hier ergeben sich Datenschutzprobleme, welche die Nutzer nicht gleich erkennen, doch deren Auswirkungen sie unter Umständen viel später zu spüren bekommen.
Für jede installierte App ist es üblich, alle Rechte für die Installation und Interaktion in sozialen Netzen zu behalten, auch dann, wenn die App wieder entfernt wurde. Tatsächlich ist es schwierig, für Hunderte von heruntergeladenen Apps mit unterschiedlichem Fokus und diversen Sicherheitsmaßnahmen auf den Geräten, die vielen Variablen im Auge zu behalten.
Gerade vor dem Hintergrund der vielen Datendiebstähle und Datenschutzvorfälle im letzten Jahr sollten Nutzer verstärkt darauf achten, wer ihre Metadaten (Vorlieben für Produkte, Suchhistorie usw.) hat und was damit passiert.

FĂĽr die Vorbereitung auf den Valentinstag ist es nie zu frĂĽh. Das glauben offensichtlich auch die Cyberkriminellen und starteten bereits erste Angriffe ĂĽber Facebook.
Die Sicherheitsexperten von Trend Micro haben einen Angriff entdeckt, der mit einer Aufforderung auf der Pinnwand von Facebook-Nutzern startet, Valentinstag-Bilder in ihren Profilen zu installieren.

Klickt ein Nutzer diesen Eintrag an, so wird er auf eine weitere Seite umgeleitet, woher er besagte Bilder bekommen kann. Dieser Angriff funktioniert nur mit Google Chrome oder Firefox Browsern.

Ein Klick auf Install initiiert das Herunterladen der bösartigen Datei FacebookChrome.crx, die Trend Micro als TROJ_FOOKBACE.A identifiziert hat. Der Trojaner führt ein Skript aus, das Werbung von bestimmten Websites darstellen kann.

Zudem installiert sich der Schädling selbst im Browser des Opfers als Erweiterung namens Facebook Improvement |Facebook.com.

Diese Erweiterung überwacht dann die Aktivitäten des Nutzers und leitet ihn um auf eine Umfrageseite, wo er seine Mobilnummer angeben soll. Übrigens werden Nutzer, die im Internet Explorer den Facebook-Eintrag angeklickt haben, zu derselben Umfrage umgeleitet, doch ohne Aufforderung etwas herunterzuladen.

Gestern hat die für Cyberkriminalität zuständige Abteilung der Polizei in Kyoto laut eigenen Angaben sechs Personen festgenommen, die der Erstellung und Verwendung von One-Click-Betrugsprogammen verdächtigt werden. Den ersten Berichten zufolge sollen sie damit etwa 12 Millionen japanische Yen (148.000 Dollar) erbeutet haben.

Mit dem One-Click Billing-Betrugsschema werden Opfer dazu verleitet, sich bei bestimmten Diensten zu registrieren und dafĂĽr zu zahlen, nachdem sie auf eine gewisse Website geleitet wurden.
Der polizeilichen Ankündigung nach setzten die Verdächtigen bösartige Programme ein, die sie unter Nutzern verbreiteten. Besuchten die Opfer bestimmte Websites, einschließlich solcher mit Pornoinhalten, und wollten über den „Play“-Button ein Video abspielen, so wurde stattdessen eine Datei ausgeführt. Es gibt 118 bestätigte Sites, die für One-Click Billing-Betrug genutzt werden. Weitere Einzelheiten hat die Polizei nicht genannt, doch Trend Micro arbeitet mit der Abteilung in Kyoto zusammen, um das bei diesem Angriff genutzte Programm zu analysieren.

Eine Suchanfrage bei Google ergab eine Trefferquote von einer Million Seiten, auf denen über diesen Schädling gesprochen wird. Ein Grund für die aktuelle Beliebtheit dieses Betrugsschemas liegt darin begründet, dass Dateien in One-Click-Ware einfach zu modifizieren sind, um so von Sicherheitsprogrammen nicht entdeckt zu werden. Herkömmliche Sicherheitssoftware, die sich auf Pattern-Technologie verlässt, hat es schwer, in diesem Spiel zu punkten. Cyberkriminelle müssen lediglich ein paar Zeilen im Code ändern und schon können diese AV-Lösungen die Programme nicht mehr erkennen.

Neue Techniken wie Reputationsdienste aus der Cloud beispielsweise in Trend Micros Smart Protection Network sind hier sehr hilfreich.

Es gibt viele Arten der Untersuchung einer Bedrohung mithilfe unterschiedlicher Sachkenntnis – vor allem, wenn es sich um eine Gefahr handelt, die mehrere Schädlinge einbezieht und eine ziemlich robuste C&C (Command & Control)-Infrastruktur verwendet. Doch unabhängig davon, ob Reverse Engineering oder die Analyse der Botnet-Infrastruktur eingesetzt wird, das wichtigste Ziel ist, die Bedrohung an sich zu verstehen.

Trend Micro ist in der glücklichen Lage, einige Experten in seinen Reihen zu haben, die diese Herausforderung mit verschiedenen Mitteln angehen können. Deren technische Analyse und die benötigte Sorgfalt bei der Überwachung der Koobface-Aktivitäten führte zu einem gründlichen Verständnis des Botnets. Somit war Trend Micro in der Lage, zu reagieren und eine angemessene Lösung für den Schutz der Kunden zu liefern.

Koobface auf dem Höhepunkt

Zu seinen besten Zeiten, war Koobface als Schadsoftware bekannt, die sich ĂĽber das sich (zu der Zeit) rasant entwickelnde soziale Netzwerk Facebook verbreitete. Doch natĂĽrlich steckte mehr dahinter.
2008 bis 2009 war Facebook gerade dabei, sich von den anderen sozialen Netzwerken wie Myspace, Twitter, Friendster oder myyearbook abzugrenzen und die Vorherrschaft zu übernehmen. Trend Micros erstes Forschungspapier zu Koobface lieferte eine detaillierte Darstellung dazu, dass der Schädling nicht allein Facebook für seine Verbreitung nutzte, sondern auch andere damals beliebte soziale Netzwerke. Auch zeigten die Sicherheitsforscher auf, wie ein mit dem Koobface-Schädling infiziertes System weitere Malware installiert, die dann entweder dazu genützt wird, um infizierten Nutzer-Verkehr zu Geld zu machen oder um die betroffene Maschine in die Koobface C&C-Infrastruktur mit einzubinden.

Koobface und das C&C

Trend Micros zweites Forschungspapier beschäftigte sich ausführlich mit der C&C-Infrastruktur und -Kommunikation. Die Experten konnten die verschiedenen Kontrollebenen in der Koobface-Bande nachvollziehen – von der feingranularen Kontrolle der Social Engineering-Nachrichten, die der infizierte Nutzer als Spam verschickte, bis zu den verschiedenen Komponenten, Konten, Infrastrukturen und Befehlen, die der Bande zur Verfügung standen.

In dieser Phase gelang es den Sicherheitsforschern von Trend Micro, das C&C-Protokoll sowie die Befehle zu entziffern und die Botnet-Aktivitäten zu überwachen. Sie entdeckten die Facebook- und Google-Konten, die die Kriminellen kontrollierten und entkräfteten die Theorie, dass die Bad Guys billige Arbeitskräfte in Indien für das Knacken von CAPTCHAS beschäftigen. Auch stellten sie fest, dass die Leute hinter Koobface jeden Versuch, das Botnet kaltzustellen, unterliefen.

Noch fehlte aber die Antwort auf die zentrale Frage nach den Vorteilen fĂĽr die Gang.

Koobface als Goldesel

Die Antwort auf diese Frage kam durch den Beweis, dass die Koobface-Bande in kriminelle Machenschaften verwickelt war, so etwa FakeAV-Installationen, Click-Betrug, Informationsdiebstahl und Online-Dating.

An diesem Punkt der Untersuchung wandten sich die Forscher für eine Zusammenarbeit an die breitere Sicherheits-Community, denn eine so große Aktion wie die um Koobface bedarf auch der Kenntnisse anderer Forscher, Ermittler und Organisationen. Trend Micro arbeitete mit unabhängigen Ermittlern wie Jan Droemer zusammen, ebenso mit Facebook und Google oder auch mit den Sicherheitsforschern von Kaspersky und Sophos. Dass auch mehrere Polizeibehörden involviert waren, ist selbstverständlich.

Die Entwicklung von Koobface

Ein nächstes Forschungspapier beschrieb, wie die Koobface-Bande die C&C-Architektur und die Malware-Binaries veränderte sowie die Backend-Dienste verbesserte, um sich gegen Schließungen und das Aufdecken ihrer Aktivitäten zu schützen.

Vor ein paar Wochen dann kam das bislang letzte Papier heraus, das zeigte, wie die Kriminellen sich den strengen Sicherheits-Checks von Facebook anpassen, indem sie auf Twitter und Blogspot umschwenken und TDS (Traffic Direction Systems) fĂĽr ihre Zwecke nutzen.

Verfrühte Veröffentlichung

Die Beteiligten hielten die ganzen Daten zu den Untersuchungen und Nachforschungen geheim, um die laufenden Ermittlungen nicht zu gefährden. Doch leider veröffentlichte ein Blogger wichtige Informationen bezüglich der Koobface-Ermittlung, und zwar ohne sich mit den Beteiligten abzusprechen. Dies geschah, bevor es zu den gewünschten Ergebnissen kommen konnte (etwa Verhaftungen).  Die langsamen Ermittlungen sind verständlich, geht es doch um Beweise, die vor Gericht Bestand haben müssen. Es bleibt zu hoffen, dass trotz der aktuellen Situation die Ermittlungen zu einem guten Ende kommen und die Kriminellen ihrer gerechten Strafe nicht entgehen.

Trend Micro-Forscher Jonell Baltazar, Ryan Flores, Joey Costoya und Nart Villenueve haben erhebliche Anstrengungen unternommen, um die Koobface-Bedrohung zu untersuchen.  In diesem Whitepaper beschreibt Sophos ebenfalls die Entwicklung der Aktion Koobface.

Das Jahr 2011 brachte sowohl Herausforderungen als auch Erfolge nicht nur für Trend Micro, sondern auch für die anderen Sicherheitsanbieter und die behördlichen Mitstreiter im Kampf gegen Cyberkriminalität. 2011 wurde, wie von unseren Sicherheitsforschern vorhergesehen, zum „Jahr der Dateneinbrüche“. Weltweit wurden Unternehmen Opfer von gezielten Einbruchsangriffen und erlitten hohe Datenverluste, der neuen digitalen Währung.
Als Vorbereitung auf das kommende Jahr lohnt es sich, einen Blick auf die von Trend Micro getätigten Vorhersagen zu werfen und auf das, was tatsächlich eingetreten ist.

• Es wird mehr zielgerichtete Angriffe und Cyberspionage geben. Wie prognostiziert, wurden weltweit einige Unternehmen Opfer von zielgerichteten Angriffen, die sie teuer zu stehen kamen. RSA und Sony PlayStation – zwei der größten Angriffsziele 2011 – verloren Millionen Kundendaten und mussten Riesensummen aufbringen, um den Schaden zu beheben.
• Es wird mehr Angriffe auf mobile Geräte geben. Der enorme Anstieg der Android-Malware hat die Reife der mobilen Bedrohungslandschaft begĂĽnstigt. Mit Trojanern infizierte und andere Arten von bösartigen Android-Apps haben nicht nur die App Stores von Drittanbietern verseucht, sondern auch den Android Market selbst. Die prominentesten Schädlingsfamilien 2011 waren RuFraud- und DroidDreamLight-Varianten.
• AusgeklĂĽgelte Malware-Kampagnen werden zunehmen. Cyberkriminelle haben weltweit Nutzer von sozialen Netzwerken mit noch mehr Aufsehen erregenden Spam- und Betrugsangriffen sowie innovativen Tools ĂĽber Social Engineering ĂĽberrollt. Diese Attacken haben Tausende von Nutzern ihre vertraulichen Daten und sogar die persönlichen Informationen gekostet.
• Die Ausnutzung von SicherheitslĂĽcken und Exploits wird weitergehen. Obwohl die Zahl der ausgenĂĽtzten SicherheitslĂĽcken, ĂĽber die berichtet wurde, rĂĽckläufig war, haben die Kriminellen weiter eine ganze Reihe von Exploit-Angriffen gestartet. Die drei am häufigsten ausgenĂĽtzten SicherheitslĂĽcken — VE-2011-3402, CVE-2011-3544 und CVE-2011-3414 – betrafen Produkte von drei der Top fĂĽnf Anbieter, nämlich Microsoft, Oracle und Adobe.
• Es wird neue Infektionen mit alter Malware geben und der kriminelle Untergrund wird sich konsolidieren. Traditionelle Bedrohungen haben auch 2011 Nutzer groĂźen Schaden zugefĂĽgt. Als Mittel, um an Daten, Geld oder Identitäten heranzukommen, nutzen sie neue und bessere Werkzeuge und infizieren damit die Systeme und Geräte unwissender Nutzer.

Die Sicherheitsforscher haben zwar Hacktivismus fĂĽr 2011 nicht prognostiziert, doch es gab eine ganze Reihe an Masseninfektionen durch AntiSec- und LulzSec-Angriffe. Hacktivistengruppen waren bei ihren Angriffen unter anderem auch politisch motiviert.
Doch insgesamt war 2011 kein so schlechtes Jahr, denn es gab auch Erfolge im Kampf gegen Cyberkriminalität. In enger Zusammenarbeit mit Partnern und den Behörden stand Trend Micro an vorderster Front in der Aktion „Operation Ghost Click“, bei der der bislang größte cyberkriminelle Ring ausgeschaltet wurde.
Weitere Einzelheiten zu den Sicherheitsvorfällen im vergangenen Jahr finden sich im Report “A Look Back at 2011: Information Is Currency”.

Betrüger zielten bislang mit ihrem Schema des so genannten One-Click Billing auf Smartphone-Nutzer. Jetzt gibt es ein ähnliches Betrugsmuster, dass speziell auf Android-Nutzer ausgerichtet ist.

Bei einem One-Click Billing-Betrug versuchen die Kriminellen, ihre Opfer dazu zu verleiten, sich fĂĽr einen bestimmten Dienst anzumelden und dafĂĽr zu zahlen, indem sie sie auf manipulierte Webseiten locken. Beim letzten von Trend Micro aufgedeckten Angriff wurden die Opfer aufgefordert, eine bestimmte Summe zu zahlen, um zu verhindern, dass ihre Informationen an eine Pornoseite weitergeleitet werden.
Die Sicherheitsexperten haben nun einen ähnlichen Angriff über eine bösartige App auf Android-Nutzer entdeckt. Der Angriff wird von einer Blog-Site ausgelöst, auf der Spiele-Videos enthalten sind. Der Blog namens „Game Dunga“ hat bereits dreimal die Domain gewechselt. In früheren Versionen gab es eine Menge Links, die auf Spiele-Videos (nicht nur Pornoinhalte) führten. Die aktuelle, dritte Generation jedoch enthält nur Links, die auf Pornoinhalte zeigen.

Beim Versuch, ein Video anzuschauen, wird ein Pop-up-Fenster geöffnet mit der Aufforderung, eine App herunterzuladen, die Trend Micro als bösartig (ANDROIDOS_FAKETIMER.A) erkannt hat. Der Schädling sammelt die Kontoinformationen des Android-Nutzers und leitet sie an eine bestimmte URL weiter, als Parameter für die folgenden Methoden:
•    getAccounts() method – sammelt Gmail-Kontoinformationen, die von dem Gerät des betroffenen Nutzers verwaltet warden.
•    getDeviceID() method – sammelt die SIM-Daten des betroffenen Geräts.
•    getLine1Number() method – sammelt die Mobilnummer des Geräts.

Die auf diese Weise erhaltenen Daten werden an die Cyberkriminellen weitergeleitet. Auch zeigt ANDROIDOS_FAKETIMER.A ein Pop-up-Fenster an mit der Nachricht: „Wir haben ihre Zahlung nicht erhalten. Aus diesem Grund müssen wir gemäß unserer Richtlinien eine Strafgebühr erheben für den Fall, dass Sie nicht gezahlt haben.“

Darüber hinaus zeigt der Schädling die gestohlenen Informationen an, um Vertrauen beim Nutzer aufzubauen und ihn zur Zahlung zu bewegen.

Die Einbindung einer App in diesen Betrug verleiht dem Schema eine bis dahin nicht vorhandene Persistenz. In der Vergangenheit wurden die Routinen hauptsächlich über eine infizierte Website ausgeführt und somit endete der Angriff, wenn ein Opfer den Browser schloss. Nun aber, da eine auf einem Gerät installierte App dafür verantwortlich ist, wird der Nutzer wiederholte Male zur Zahlung aufgefordert. Eine Codeanalyse zeigte, dass das Pop-up auf ein Zeitintervall von fünf Minuten gesetzt war.

Nutzer, die auf ähnliche Sites stoßen, sind gut beraten, die Seite sofort zu verlassen, ohne einen Link anzuklicken. Trend Micros Smart Protection Network schützt die Anwender vor dieser Art von Angriffen, den der Web Reputation-Dienst erkennt die bösartigen Seiten und blockiert die entsprechenden URLs. Weitere Informationen zu anderen mobilen Gefahren und auch Tipps für die Sicherheit der Geräte gibt es im Mobile Threat Information Hub.

Bereits im August 2011 hatte Trend Micro in einer Infografik „Snapshot of Android Threats“ die erhebliche Steigerung in der Zahl der mit Trojanern infizierten Android Apps wie auch sonstige Malware für Android-Plattformen aufgezeigt. Auch in den „12 Security Predictions For 2012“ stellte der Sicherheitsspezialist fest, dass vor allem Android Smartphone- und Tablet-Plattformen zum Ziel vermehrter krimineller Angriffe werden.

Die ständige Beobachtung dieser Gefahr zeigte schnell, dass das Problem mit alarmierender Schnelligkeit zunimmt: Von einer Handvoll bösartiger Apps zu Beginn des Jahres schoss die Zahl bis zum Dezember auf mehr als tausend bösartiger Android-Apps hoch. Die durchschnittliche Wachstumsrate in der zweiten Jahreshälfte 2011 betrug mehr als 60 Prozent.

Nehmen die Angriffe in diesem Jahr mit der gleichen Geschwindigkeit zu, so wird es sicherlich ein „aufregendes“ Jahr für Android. Dann wird es im Dezember mehr als 120.000 bösartige Android-Apps geben.

Es gibt mehrere Faktoren, die dieses explosive Wachstum verursachen:

• Die steigende Beliebtheit von Android, dokumentiert durch die Gesamtzahl der heruntergeladenen Apps (mehr als zehn Milliarden ĂĽber den offiziellen Android Market) und enorm hohe Nutzerzahl, die Gartner und auch Andy Rubin, Senior Vice President of Mobile von Google feststellen.
• Die Offenheit des Vertriebsmodells der Android-Apps. Anders als bei weiteren mobilen Betriebssystemen können Nutzer Anwendungen installieren, ohne dabei einen Filterungsprozess zu durchlaufen. Die Gefahr, eine bösartige App zu installieren, erhöht sich damit deutlich.
• Die kriminelle Denkweise: Bad Guys greifen dort an, wo das Geld ist.

Android Malware ist definitiv hier um auch 2012 zu bleiben.

Hier finden Sie Tipps & Lösungen, um Android Geräte zu schützen:

• 5 einfache Schritte zum Schutz Ihrer Android-basierten Smartphones
• Mobile Security Personal Edition – intelligenter Schutz fĂĽr Android geräte inklusive App-Scanner

Eine neue Variante der bekannten „see who unfollowed you“-Betrugstechnik kursiert auf Twitter:

Eine Menge Tweets sind abgeschickt worden, in denen der Absender behauptet, einige Leute hätten ihn von der Liste der Follower gestrichen. Wer herausfinden wolle, ob das eigene Konto ebenfalls von mehreren Followern abgelehnt wird, der solle auf den angegebenen Link klicken.

Tut ein ahnungsloses Opfer dies, so wird dieser Nutzer auf eine Seite mit einem “Followers Monitor” umgeleitet, und er muss einer Anwendung erlauben, sein Twitter-Konto zu nutzen. Diese betrügerische Anwendung kann die Tweets des Nutzer lesen, sein Profil aktualisieren und sogar Tweets veröffentlichen. Als erstes veröffentlicht sie natürlich die eigene Version des Spam-Tweets.

Die Tweets enden mit einer Reihe von Hashtags mit aktuellen Themen, wie etwa Fussballspiele, oder auch mit allgemeinen Themen.

Achtung: Die “See who unfollowed you”-Funktion ist immer Betrug. Falls ein Nutzer unabsichtlich einen solchen Link anklickt, so kann er den Schaden begrenzen, indem er der Anwendung unter „Einstellungen“ und „Applikationen“ die Autorisierung für den Zugriff auf das eigene Konto entzieht. Trend Micro hat obige Seite bereits geblockt, sodass Anwender vor dieser Gefahr geschützt sind.

Vor ein paar Tagen hatte der britische Online-Nachrichtendienst The Register darĂĽber berichtet, dass die Google-Sicherheitsfachleute eine Reihe von manipulierten Smartphone-Spielen aus dem Android Market entfernt hatten. Sie enthielten eine Schadsoftware (die Trend Micro als ANDROIDOS_RUFRAUD.A identifiziert hat), welche unbemerkt Textnachrichten an Bezahldienste schickte.

Diese akute Gefahr ist zwar beseitigt, doch sollten die Android-Nutzer auch weiterhin besondere Vorsicht walten lassen, vor allem in Anbetracht des von Google ausgeschriebenen „10-Cent“-Angebots zur Feier der erreichten zehn Milliarden Downloads.

Ein paar Hinweise zur sicheren Installation und Nutzung von Apps können hier von großer Hilfe sein:

Nutzer sollten sich die Autoren beliebter Spiele merken

Cyberkriminelle nutzen die Popularität bestimmter Apps und versuchen diese nachzumachen. Doch da sie nicht als Originalentwickler auftreten können, dient dessen Namen als Hinweis auf die Echtheit einer App. Beispielsweise weist die Android Market-Seite für Angry Birds Rovio Mobile als Autor des Spiels aus, während die gefälschte als Autor Logastroid angibt.

Anwender können auch das Profil des Entwickler prüfen. Zudem bietet Google Entwickler-Ratings und den Status “Editor’s Choice” als weitere Hinweise auf die Legitimität eines Entwicklers an.

Das Gleiche gilt auch fĂĽr andere Informationen auf der Webseite einer App, etwa der Icon und Name. Fehlt ein Element, so sollte die App lieber nicht heruntergeladen werden.

Beurteilungen und Anzahl der Besprechungen sind ein guter Hinweis

Beurteilungen von Apps und das Feedback der Nutzer liefert eine genauere Einsicht in die Erfahrung anderer mit einer bestimmten App. Diese Informationen finden sich unter dem App Icon.

Neben den qualitativen Aussagen über eine App ist auch die Anzahl der Beurteilungen ein gutes Indiz, denn weit verbreitete Apps erhalten naturgemäß auch mehr Feedback. Ist die Zahl der Beurteilungen auffallend niedrig, so handelt es sich wahrscheinlich um eine Fälschung – dies führte auch jüngst zur Enttarnung der bösartigen Apps im Android Market.

 Recherche auf anderen Websites bringt Gewissheit

 Neben den eigenen Webseiten von Android Market liefern auch andere Besprechungen zu Android-Apps und damit mehr Möglichkeiten der Echtheitsprüfung.

Diese weiter gehende Recherche ist auch deshalb wichtig, weil die Kriminellen alles tun, um Nutzer auch beim Feedback zu täuschen. Sie können selbst irreführende Besprechungen veröffentlichen und Ratings, um den Nutzer bezüglich der Echtheit einer App zu täuschen.
Die rot eingekreiste Besprechung ist eine Fälschung für eine bösartige App, die blau umrandete stammt von einem echten Anwender.

Zusätzlich zu obigen Empfehlungen gibt es weitere Möglichkeiten, um Android-Geräte zu sichern. Weitere Informationen und Empfehlungen liefert der Kommentar „Spielend einfach: In vier Schritten zu mehr Sicherheit bei Android“ und die Re unter „Mobile Threat Information Hub“.