Sieben Jahre mobile Schädlinge

Originalartikel von Rik Ferguson, Director Security Research & Communication EMEA

Schon 2004 gab es den ersten Schädling für Smartphones. Der Wurm Cabir war auf die Infektion von Symbian-Geräten zugeschnitten und verbreitete sich über Bluetooth (als .sis-Paket). Dieser Vorreiter vieler späterer Varianten sollte ursprünglich als Proof-of-Concept dienen, doch schnell griffen Kriminelle die Malware für ihre hinterhältigen Zwecke auf, und noch vor Jahresende waren neue, mächtigere Varianten im Einsatz.

Im selben Jahr noch entwickelten die „Bad Guys“ die Mittel, um mit bösartigem mobilen Code Geld zu verdienen: Der Trojaner Qdial, als Kopie des Spiels Mosquitos versteckt, verschickte SMS an Mehrwertdienste, so genannte Premium Rate Services, für die der Besitzer des Geräts zahlen musste. Es handelte sich dabei um Rufnummern aus Großbritannien, Deutschland, Niederlande und aus der Schweiz. Dieses „Geschäftsmodell“ entwickelte sich mit der Zeit auch auf den neueren Plattformen zur wichtigsten und einträglichsten Geldquelle für die Kriminellen.

Eine zweite mobile Schadsoftware tauchte ebenfalls noch 2004 auf: Skulls überschreibt Anwendungsdateien auf Mobilgeräten und ersetzt deren Icons durch eine Piratenflagge. Der Schädling zielte auf Nokia 7160 und auch weitere Symbian-Geräte. Er verbreitete sich über E-Mail oder Peer-to-Peer-File Sharing unter der harmlosen Bezeichnung eines “Extended Theme Manager”. Eine zweite Skulls-Variante beinhaltete auch den Cabir-Wurm für eine bessere Verbreitung. Diese Abart änderte den Icon in ein Puzzle-Spiel. Es war der Anfang eines Trends, wobei Cabir zur Verbreitung diente.

2005 entwickelte sich die mobile Schadsoftware bereits in Richtung Informationsdiebstahl, wenn auch noch nicht auf dem professionellen Niveau heutiger Malware. Pbstealer beruhte auf Cabir-Quellcode und kopierte alle Informationen aus dem Adressbuch eines infizierten Geräts und versuchte sie an jedwedes über Bluetooth verfügbare Gerät in der Nähe zu übertragen. Eine weitere Neuentwicklung in dem Jahr war ein Schädling namens Commwarrior, der sich über MMS-Nachrichten verbreitete statt der weniger effektiven Bluetooth-Technik.

Neben der auf Symbian ausgerichteten Malware gab es schon damals auch Windows CE-Angriffe, doch waren sie seltener, da das mobile Microsoft-Betriebssystem weniger verbreitet war als Symbian.

Ein weiterer für Kriminelle lohnender Bereich war die Entwicklung von Schadsoftware für J2ME (Java 2 Micro Edition). Diese Plattform half den Bad Guys bei der Lösung der Probleme mit unterschiedlichen Plattformen: Jedes Gerät, das eine Java Virtual Machine enthielt war nun für die Bösen von Interesse, sodass sich ihr Betätigungsfeld bedeutend erweitern ließ.

2009 bestand ein Großteil der mobilen Malware aus SMS-Trojanern, die für J2ME entwickelt worden waren. SMS-Betrug gibt es in vielen Formen, so etwa das Versenden von Nachrichten an Mehrwertdienste oder als Nachrichten an einen Empfänger mit der Aufforderung, eine bestimmte Nummer anzurufen, um eine nicht vorhandene Transaktion zu bestätigen.

Quelle: flickr

Schon ein Jahr später hatte sich die Angriffslandschaft infolge von zwei neuen Betriebssystemen (Android, iOS) radikal verändert. Der erste Trojaner für Android (ANDROIDOS_DROIDSMS.A) wurde im August 2010 gesichtet. Es war eine russische SMS-Betrugs-App, die Nachrichten an Mehrwertdienste schickte. Die neuen Fähigkeiten der modernen Smartphones bieten natürlich auch den Kriminellen mehr Chancen. Noch im selben Monat wurde ein weiterer Trojaner entdeckt, der sich als das Tap Snake-Spiel tarnte und GPS-Daten des infizierten Geräts over http versendete, die dann von einem weiteren Gerät mit einer GPS Spionage-App abgefangen werden konnten.

Gleichzeitig tauchte die erste Schadsoftware für iOS-Geräte auf. Der Ikee-Wurm konnte nur in Jailbroken-Apple-Geräte eindringen und nutzte ein Default SSH-Kennwort, um sich auf weiteren Jailbroken-Geräten auszubreiten. Der Wurm wurde bald auch mit rudimentären Botnet-Fähigkeiten ausgestattet. Bis heute wurde keine iOS-Malware im offiziellen App Store entdeckt und auch keine, die Geräte ohne Jailbreak infizieren kann.

Im Gegensatz zu dem Apple App Store ist das Android-Konzept offen auch für Drittanbieter und damit auch einem höheren Missbrauch ausgeliefert. Google bietet allerdings die Möglichkeit, über „Remote Kill“ eine bösartige App bei Missbrauch zu löschen. Im März dieses Jahres entdeckten die Sicherheitsfachleute die bislang größte Sammlung von Trojaner umfassenden Apps für Android, unter anderem solche, die Root-Zugang zum Gerät erlangen können, um neben persönlichen auch Informationen wie IMEI und IMSI über das Gerät abzugreifen.

2011 ist das Jahr der Reife der mobilen Schadsoftware, doch Kriminelle suchen immer noch weitere Möglichkeiten, die reichhaltige Funktionalität der Smartphones besser für ihre Zwecke auszunützen. Bemerkenswert ist auch die steigende Komplexität der Bedrohungen. So umfasst der ZeuS-Bankschädling auch mobile Elemente, um Bankauthentifizierungsdaten, die über SMS verschickt werden, abzufangen.

Weitere Einzelheiten finden sich im Whitepaper „A Brief History of Mobile Malware“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*