G Data MalwareReport 1/2012
Transcription
G Data MalwareReport 1/2012
G Data MalwareReport Halbjahresbericht Januar – Juni 2012 G Data SecurityLabs G Data MalwareReport 1/2012 Inhalt Auf einen Blick...................................................................................................................................... 2 Malware: Zahlen und Daten ................................................................................................................ 3 Ebbe und Flut .................................................................................................................................................................3 Kategorien: Spyware ist stark im Kommen ..........................................................................................................3 Plattformen: >>Windows rulez!<< .........................................................................................................................5 Android-Schadcode: Wann kommt die Flut? ......................................................................................................6 Wie gefährdet ist Mac OS X? .....................................................................................................................................7 Gefahren-Monitor ................................................................................................................................ 9 Webseiten-Analysen .......................................................................................................................... 11 Kategorisierung nach Themen .............................................................................................................................. 11 Kategorisierung nach Server-Standort............................................................................................................... 13 Online-Banking .................................................................................................................................. 14 Mobile Malware .................................................................................................................................. 16 Copyright © 2012 G Data Software AG 1 G Data MalwareReport 1/2012 Auf einen Blick • • • • • • • Die Anzahl neuer Schadprogrammtypen steigt auf 1.381.967. Das Wachstum zum letzten Halbjahr 2011 beträgt aber nur noch 3,9%. Gerade in der Kategorie Spyware gibt es Zuwachs und sie ist damit nun die zweitgrößte Kategorie. Die Anzahl neuer Downloader und Backdoors steigt ebenfalls, was darauf hinweist, dass bestehende Botnetze gepflegt werden. Der Anteil von Windows-Malware steigt auf 99,8%. Es sind 25.611 neue Android-Schaddateien in den G Data SecurityLabs eingetroffen. Banking-Trojaner zeigen teils neue Angriffsschemen, aber Sinowal bleibt Spitzenreiter. In allen Bereichen zeigte sich, dass Angreifer mit möglichst geringem Aufwand möglichst viel Profit ergaunern wollen. Ereignisse • • • • Im Umfeld von ZeuS/SpyEye und auch Carberp gerieten einige Personen ins Visier von Ermittlern. Der komplexe Flame Schadcode sorgte im Mai 2012 für Aufruhr und erlangte nach Stuxnet und Duqu viel Aufmerksamkeit in der Riege der gezielten Cyber-Spionage-Schädlinge. „Operation Ghost Click‘‘: DNSChanger Schadcode infizierte Rechner rund um den Globus und sorgte bei betroffenen für Internet-Verbindungsprobleme. Die beliebte Messenger WhatsApp für Smartphones machte negative Schlagzeilen, da jegliche im WLAN gesendeten Daten mitgeschnitten werden konnten. Ausblick für das zweite Halbjahr 2012 • • • • Die Anzahl der neuen Schadprogrammtypen wird nicht dramatisch steigen. Neue Banking-Trojaner werden kommen und weiter professionalisiert. Android Schadsoftware wird ausgeklügelter und die Fallzahlen werden weiter steigen. Für die Plattform Mac OS werden finanziell motivierte Schädlinge adaptiert werden. Copyright © 2012 G Data Software AG 2 G Data MalwareReport 1/2012 Malware: Zahlen und Daten Ebbe und Flut Die Anzahl neuer Computer-Schädlinge steigt schon seit Jahren kontinuierlich an. Das ist auch im ersten Halbjahr 2012 der Fall. Insgesamt sind 1.381.967 neue Schadprogrammtypen 1 aufgetaucht. Das sind ca. 3,9% mehr als im letzten Halbjahr und 11,0% mehr als ein Jahr zuvor. Die G Data SecurityLabs verzeichneten im ersten Halbjahr durchschnittlich 316 neue Schadprogrammtypen pro Stunde. Für das zweite Halbjahr zeichnet sich keine dramatische Steigerung ab. Für 2012 erwarten wir eine leichte Zunahme gegenüber dem Vorjahr – voraussichtlich wird die Marke von drei Millionen Computerschädlingen nicht geknackt. Abbildung 1: Anzahl neuer Schadprogramme pro Jahr seit 2006 Kategorien: Spyware ist stark im Kommen Schadprogramme können anhand der schädlichen Aktionen, die sie auf einem infizierten System ausführen, klassifiziert werden. Die wichtigsten Kategorien sind in Abbildung 2 dargestellt. Die Gruppe der Spyware zeichnet u.a. Tastaturaktivitäten auf, durchsucht das System nach Passwörtern, Zugangsdaten für Spiele, E-Mail-Portale und Finanzdienstleister oder manipuliert Finanztransaktionen. Ihr Anteil ist im ersten Halbjahr 2012 erneut gewachsen, auf 17,4%. Insbesondere die Anzahl der Spyware-Schädlinge, die es auf Zugangsdaten von Spielen abgesehen haben, hat deutlich zugenommen. Auch die Anzahl der Banking-Trojaner in der Kategorie Spyware ist um knapp 14% angestiegen. Online-Banking hat sich als Markt in der Underground-Economy 1 Die Zahlen in diesem Report basieren auf der Erkennung von Malware anhand von Virensignaturen. Sie basieren auf Ähnlichkeiten im Code von Schaddateien. Viele Schadcodes ähneln sich und werden dann in Familien zusammengefasst, in denen kleinere Abweichungen als Variationen erfasst werden. Grundlegend unterschiedliche Dateien begründen eigene Familien. Die Zählung basiert auf neuen Signaturvarianten, auch Schadprogrammtypen genannt, die im ersten Halbjahr 2012 erstellt wurden. Copyright © 2012 G Data Software AG 3 G Data MalwareReport 1/2012 etabliert. Damit belegt Spyware den zweiten Rang hinter der Gruppe der Trojanischen Pferde, in der vielfältige Schadfunktionen zusammengefasst sind. Abbildung 2: Anzahl neuer Schädlinge pro Malwarekategorie in den letzten fünf Halbjahren Auch die Anzahl der Backdoors, Downloader und Tools steigt, was zeigt, dass weiterhin viele Rechner in Botnetze integriert werden. Die Downloader sorgen dafür, dass nach der Infektion Schaddateien auf den infizierten Rechner aufgespielt werden. Die Backdoors ermöglichen dann die Fernsteuerung der Rechner und deren Integration in ein Botnetz. Die Tools werden dazu genutzt, um automatisiert Infektionen vorzubereiten, Botnetze zu verwalten oder die Zombie-Rechner für kriminelle Zwecke - wie etwa den Versand von Spam - einzusetzen. Screenshot 1: Collage aus Sperrbildschirmen internationaler RansomSchädlinge Copyright © 2012 G Data Software AG Ebenfalls zugenommen hat die Anzahl der Ransomware, als Teil der Trojaner. Diese Programme sperren den Rechner oder verschlüsseln Dateien und verlangen dann unter verschiedenen Vorwänden ein Lösegeld, das per uKash, paysafecard oder einem anderen anonymen Bezahldienst gezahlt werden soll. Als Vorwand sind eine fehlende Windows-Registrierung, der Download von urheberrechtlich geschützten Dateien oder der Besitz von illegaler Software üblich. Die 4 G Data MalwareReport 1/2012 Zahlungsaufforderung wird oft verstärkt, indem der Name einer gewichtigen Organisation missbraucht wird. Polizeibehörden, Microsoft oder Organisationen, die Urheberrechte vertreten, wie die GVU oder die GEMA, treten in diesem Zusammenhang häufig auf. Das Verbreiten der Verschlüsselungs-Trojaner und von FakeAV-Schädlingen ist aus Sicht der Angreifer lukrativ, denn die gezahlten Lösegelder fließen direkt in die Taschen der Angreifer – sie müssen keinerlei Zwischenhändler einschalten (z.B. die sogenannten Money Mules) oder selbst weiter aktiv werden, um an die Beute zu gelangen. Aus der Erfahrung heraus geht es der Masse an Cyberkriminellen darum, möglichst viel Profit mit möglichst geringem Aufwand zu erzielen, wobei das sowohl für PC-Malware als auch für Schadcode gilt, der es auf mobile Endgeräte 2 abgesehen hat. Plattformen: >>Windows rulez!<< Computerprogramme werden für bestimmte Betriebssysteme oder Arbeitsumgebungen geschrieben. Das gilt auch für Malware. Seit Jahren nimmt Windows in diesem Bereich einen breiten und wachsenden Teil ein. Das ist auch im ersten Halbjahr 2012 nicht anders. Malware für Windows 3 konnte ihren Anteil um weitere 0,2% auf 99,8% steigern. Nach wie vor entstehen die meisten neuen Schädlinge im Windows-Umfeld. Der dritte Platz wird von Schadprogrammen in Webseiten behauptet. Hier lässt allerdings die signaturbasierte Zählung keine klaren Rückschlüsse über die Anzahl neuer Schädlinge zu. Das Gros der WebScripts wurde früher und wird auch heute noch durch generische Signaturen erkannt und somit sind keine neuen Signaturen nötig, die sich als „neu“ in den Statistiken wiederfinden würden. Ähnliches gilt auch für die Zahlen zu mobilen Plattformen und Malware für Apple-Rechner. Die Zahlen im Kapitel „Gefahren-Monitor“, Seite 9, sind hier viel aufschlussreicher, da sie die tatsächlichen Attacken als Grundlage haben. Plattform #2012 H1 Anteil #2011 H2 Anteil 1 Win 1.360.200 98,4% 1.305.755 98,2% 2 MSIL 18.561 1,4% 4 18.948 1,4% 3 WebScripts 1.672 0,1% 2.402 0,2% 4 Java 662 <0,1% 244 <0,1% 5 5 Scripts 483 <0,1% 626 <0,1% Tabelle 1: Top 5 Plattformen der letzten beiden Halbjahre 2 Diff. #2012H1 #2011H2 +4,2% -2,0% -30,4% +171,3% -22,8% Diff. #2012H1 #2011H1 +11,7% -14,6% -46,5% +111,5% -42,0% Siehe Kapitel „Mobile Malware“, Seite 12. Als Malware für Windows betrachten wir ausführbare Dateien im PE-Format, die dort für Windows deklariert werden, oder ausführbare Dateien, die in der Microsoft Intermediate Language (MSIL) erstellt wurden. MSIL ist das Zwischenformat, das im .NET-Umfeld verwendet wird. .NET-Anwendungen sind zwar weitestgehend plattformunabhängig, sie werden aber de facto fast ausschließlich auf WindowsRechnern verwendet. 4 An dieser Stelle wurde ein Rundungsfehler korrigiert, von fälschlicherweise 1,3% auf 1,4%. 5 "Scripts" sind Batch- oder Shell-Skripte oder Programme, die in den Skriptsprachen VBS, Perl, Python oder Ruby geschrieben wurden. Copyright © 2012 G Data Software AG 5 3 G Data MalwareReport 1/2012 Android-Schadcode: Wann kommt die Flut? Für die Zählung der Android-Malware können unterschiedliche Werte herangezogen werden. Eine Zählweise basiert auf der Auswertung der Anzahl neuer Schaddateien. In den G Data SecurityLabs sind im ersten Halbjahr 2012 insgesamt 25.611 neue Schaddateien 6 eingetroffen. Leider ist es schwierig, die zeitliche Verteilung der einzelnen Samples 7 abzubilden, da nicht zu jedem Sample auch das genaue Datum zur Verfügung steht, an dem die Datei zum ersten Mal registriert wurde. 8 Abbildung 3 zeigt die Verteilung der Samples, die eindeutig einem Datum Abbildung 3: Verteilung der Samples mit eindeutigem Datum zugeordnet werden konnten. Die Dateien, die nicht klar einem Datum zugeordnet werden konnten, stammen in den meisten Fällen aus Sammlungen, die Schaddateien aus einem längeren Zeitraum umfassen. Wenn man diese Dateien gleichmäßig auf die Vormonate verteilt 9, ergibt sich die Verteilung aus Abbildung 4. Nach dieser Berechnung steigt die Anzahl neuer Android Schaddateien kontinuierlich. Abbildung 4: Zeitliche Verteilung der Samples nach Angleichung Die einzelnen Dateien kann man anhand von Signaturen 10 bestimmten Familien und ihren Varianten zuordnen. Die 25.611 Schaddateien können auf 737 Schädlingsvarianten abgebildet werden. Die 737 Schädlingsvarianten basieren auf 217 Schädlingsfamilien. Davon sind im letzten 6 Ein Android Schädling kann aufgrund mehrerer Dateien identifiziert werden. Das Installationspaket (APK) enthält viele weitere Dateien, die u.a. den Code und den Eigenschaften enthalten. Bei der vorliegenden Zählweise werden Erkennungen für APK und ihre jeweiligen Komponenten zu einer Schaddatei zusammengefasst, auch wenn tatsächlich mehrere Dateien in unserer Sammlung vorliegen. 7 „Samples“ steht als Begriff für Schadcode-Dateien. Unterschieden werden Samples, die auch Muster oder Stichproben genannt werden können, durch ihre Prüfsummen. 8 53,1% der Schaddateien konnten einem exakten Datum zugeordnet werden. Die Zuordnung wurde am 23.8.2012 durchgeführt. 9 In der aktuellen Berechnung wurde die rückwirkende Verteilung auf 6 Monate vorgenommen. 10 Die Zählung der Signaturen und Varianten basiert auf den Signaturen der G Data MobileSecurity Produkte Copyright © 2012 G Data Software AG 6 G Data MalwareReport 1/2012 Halbjahr 80 neu hinzugekommen. Die Familien mit der größten Anzahl an Varianten gehen aus Tabelle 2 hervor: Wir gehen davon aus, dass die Anzahl neuer Schaddateien weiterhin steigt und auch die Anzahl der neuen Familien kontinuierlich zunehmen wird, da Malware-Autoren sich bisher unbekannte Angriffsszenarien ausdenken werden, die dann in neuen Familien beschrieben werden. Familie FakeInst Jifake OpFake KungFu BaseBridge GinMaster JSmsHider RuFraud Adrd MobileSpy # Varianten 59 50 44 39 21 20 15 15 13 13 Tabelle 2: Liste der AndroidFamilien mit den meisten Varianten in H1 2012 Wie gefährdet ist Mac OS X? Seit Jahren wird der Malware-Markt von Schädlingen für Windows dominiert. Andere Plattformen spielten und spielen bislang keine große Rolle. Nutzer von Windows mussten sogar schon spöttische Werbekampagnen mit verschnupften Windows-PCs über sich ergehen lassen. Jetzt sieht es allerdings so aus, als ob auch die Nutzer von Apples Mac OS X auf die Gesundheit ihrer Systeme achten müssen. In den letzten Jahren wurden nur wenige Schädlinge für Mac OS X bekannt. 2006 brachte mit Leap den ersten Wurm für Mac OS X hervor. Leap verschickte sich als TGZ-Archiv an alle Kontakte in iChat. Die Reichweite blieb gering und Leap blieb für lange Zeit der einzige Schädling für Mac OS. Im Jahr darauf erschien mit DNSChanger ein Trojanisches Pferd, das sich als Quicktime-Codec ausgibt und nach der Installation persönliche Daten stahl. Die unter Windows bewährte Social-Engineering Masche fand unter den Mac OS Nutzern bisweilen nur wenige Opfer. 2008 wurden Mac OS-Rechner dann mit MacSweeper auch von einer ersten kleinen ScarewareWelle erfasst. Abgesehen von nervigen Meldungen verlangte der Schädling 39,99$, die per Kreditkarte zu zahlen waren. Auch Spyware wurde kurz darauf für Mac OS X adaptiert (z.B. Hovdy). 2009 erschien dann mit IService ein Schädling, der sich als iWorks ausgab und den Rechner per Backdoor in ein Botnetz integrierte. Trotz der inzwischen vorhandenen Spyware, Backdoors und eigenen Verbreitungsmöglichkeiten blieb es bis dahin weiterhin sehr ruhig um Mac OS Malware. Anfang 2010 hat offenbar die Gruppe, die WinWebSec-Scareware insbesondere unter Windows sehr erfolgreich verbreitet hat, Mac-Nutzer ins Visier genommen. Produkte namens MacDefender, MacSecurity und MacProtector haben eine sehr ähnliche Aufmachung. Sie wurden über manipulierte Google Bildersuchen auf die Rechner geschleust. Häufige Einblendungen von Pornoseiten sollten die Mac Nutzer davon überzeugen, dass der Rechner infiziert ist und eine Schutz-Software braucht. Nach Insider-Berichten war Apples-Hotline mit Anfragen überlastet. Eine Copyright © 2012 G Data Software AG 7 G Data MalwareReport 1/2012 Anleitung zur Entfernung des Schädlings gab es aber erst zögerlich. Eine andere Variante, namens MacGuard, kam im Look-and-Feel von Mac OS X Programmen daher und installiert sich ohne Abfrage des Passworts. Im Februar 2012 wurden erste Varianten des Mac-Schadprogramms Flashback gefunden, die Sicherheitslücken in Java ausnutzten, um die Nutzer unbemerkt beim Besuch einer Webseite zu infizieren. Der Schädling bindet infizierte Macs unter anderem in ein Botnetz ein. Im April wurde berichtet, dass mehr als 600.000 Mac-Rechner - vorwiegend mit der Betriebssystemversion Snow Leopard - infiziert seien. Apple war zum ersten Mal veranlasst ein spezielles Tool zur Entfernung des Schädlings zu veröffentlichen. Malware ist damit definitiv in der Mac-Welt angekommen. Die Zeit des Ausprobierens ist vorbei Das sind keine Proof-of-Concept Schädlinge mehr! Der Untergrund steht in den Startlöchern. In der Anzahl der ungepatchten Sicherheitslücken und der Möglichkeit, sie auch auszunutzen, stehen Apple Rechner ihren Windows Pendants in nichts nach. Ein weiteres Indiz für die Veränderung in der Schadcodewelt für Mac-Rechner ist die Tatsache, dass Apple die Slogans „It doesn’t get PC viruses“ und „Safeguard your data. By doing nothing“ von der firmeneigenen Webseite entfernt hat und mit „It’s built to be safe“, bzw. „Safety. Built rigth in ersetzte.“ 11 Wir erwarten, dass in den nächsten Monaten mehr finanziell motivierte Schädlinge auf Mac OS X portiert werden. Den Anfang werden Bereiche machen, in denen Windows und Mac OS gemeinsame Schnittmengen haben: Social Engineering, und per Webseite oder Browser aktivierbare Exploits. 11 http://www.huffingtonpost.co.uk/2012/06/25/apple-removes-claims-of-viruses_n_1624309.html Copyright © 2012 G Data Software AG 8 G Data MalwareReport 1/2012 Gefahren-Monitor Auch im ersten Halbjahr des Jahres 2012 konnte ein erneuter Anstieg der Anzahl der abgewehrten Angriffe gegen G Data Computernutzer mit aktivierter MII 12 verzeichnet werden. Rang Name Prozent 1 Trojan.Wimad.Gen.1 3,82% 2 Win32:DNSChanger-VJ [Trj] 1,33% 3 Exploit.CplLnk.Gen 0,76% 4 Worm.Autorun.VHG 0,67% 5 Trojan.Sirefef.BP 0,67% 6 Trojan.Sirefef.FZ 0,54% 7 Trojan.AutorunINF.Gen 0,54% 8 Win64:Sirefef-A [Trj] 0,36% 9 Trojan.Sirefef.BR 0,29% 10 Gen:Variant.Application.InstallCore.4 0,29% Tabelle 3: MII Statistiken des ersten Halbjahres 2012 Zunächst einmal fällt das Augenmerk auf Trojan.Wimad.Gen.1, Platz 1 in den G Data MII Top 10 des ersten Halbjahres 2012. Mit fast 4% steht er an der Spitze der Rangliste und zeigt sich so für fast jede 26. Detektion bei den G Data Kunden verantwortlich. Der Schädling, der Benutzer auffordert, angebliche nötige Codecs oder Abspielprogramme für digitale Mediendateien herunterzuladen und zu installieren, ist seit langer Zeit fester Bestandteil der Statistiken. Auch die Autorun-Schädlinge auf Rang 4 und 7 sowie der Exploit Exploit.CplLnk.Gen auf Rang 3 sind keine Unbekannten in der Statistik der abgewehrten Angriffe und wurden schon im vorangegangenen MalwareReport thematisiert. Der dominanteste Neueinsteiger in dieser Rangliste sind die Trojanischen Pferde der Familie Sirefef mit ihren verschiedenen Komponenten. Gleich vier der zehn Ränge werden von ihr okkupiert. Diese Familie ist extrem vielfältig und kann durch ihre modulare Struktur die unterschiedlichsten Attacken ausführen. Rootkit-Funktionen versuchen den Schadcode auf dem befallenen PC zu verstecken, welcher in den vorliegenden Fällen primär Systemdateien auf dem befallenen PC verändert und Suchmaschinenergebnisse in Webbrowsern manipuliert. Die Intention dahinter: Der betroffene Benutzer soll durch den Klick auf die manipulierten Ergebnisse Geld in die Kassen der Angreifer spülen (pay per click Werbung). Verbreitet wird Sirefef einerseits durch Web-Attacken mit Exploit Kits (z.B. Blackhole oder Crimepack), aber auch durch E-Mails mit infizierten Dateianhängen. Die Detektionen der Schädlinge der Sirefef-Familie nehmen weiterhin zu und nach den Beobachtungen der G Data SecurityLabs bringt Sirefef sehr häufig eine Variante eines DNSChanger Schädlings als Payload mit sich. In der aktuellen Sachlage ist besonders Win32:DNSChanger-VJ [Trj] zu nennen, der in den Top 10 Platz 2 belegt. Generell kann der Payload, also die böse Fracht, einer Sirefef Dropper- 12 Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G Data Sicherheitslösungen kann daran teilnehmen. Vorrausetzung hierfür: Er muss diese Funktion in seiner G Data Sicherheitslösung aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G Data SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G Data SecurityLabs gesammelt und statistisch ausgewertet. Copyright © 2012 G Data Software AG 9 G Data MalwareReport 1/2012 Komponente jedoch Schadcode jeglicher Art sein und wird rein durch die Vorlieben des MalwareAutors bestimmt. Es ist auffällig, dass die Anzahl der Adware-Schädlinge stark zurückgegangen ist. Im ersten Halbjahr sehen wir lediglich Gen:Variant.Application.InstallCore.4 als einen Vertreter der potentiell unerwünschten Programme (kurz: PUP) unter den Top 10. Schwankte der Anteil der eindeutig identifizierbaren Attacken durch Adware-Schädlinge im zweiten Halbjahr 2011 noch, so zeigt sich in den letzten sechs Monaten ein deutlicher Abwärtstrend der PUP Angriffe, zumal auf einem niedrigeren Niveau, wobei der Anteil der Adware Schädlinge unverändert hoch bleibt. 13 Abbildung 5: Anteil der detektierten potentiell unerwünschten Programme (PUP) der Malware Information Initiative mit Anzeige des Adware-Anteils 13 Siehe Abbildung 3 Copyright © 2012 G Data Software AG 10 G Data MalwareReport 1/2012 Webseiten-Analysen Kategorisierung nach Themen Die Einordnung von entdeckten bösartigen Webseiten 14 aus dem ersten Halbjahr 2012 in Themenfelder zeigt lediglich kleinere Veränderungen gegenüber dem vorherigen Halbjahr. Bei der Zählung wird nicht zwischen speziell eingerichteten Domains oder einer legitimen Seite, die missbraucht wurde, unterschieden. Erneut zeigen sich die ersten fünf Ränge für mehr als die Hälfte der klassifizierten Domains verantwortlich und die gesamten Top 10 addieren sich zu 70,7%, womit also die dominanten Themengebiete der bösartigen Webseite weitestgehend erfasst sind, auch wenn es im Vergleich zu H2 2011 2,4% weniger Abdeckung sind. Neu in der Rangliste sind die Klassifizierungen Bildung auf Rang 8 und Musik auf Rang 10. Verdrängt wurden zu ihren Gunsten die Themenbereiche Datei-Tauschbörsen (zuvor Rang 5) und Gesundheit (zuvor Rang 7). Der Abfall der bösartigen Webseiten zum Thema DateiTauschbörsen könnte im Zusammenhang mit juristischen Schritten gegen Tauschbörsen sein, wie z.B. The Pirate Bay oder auch gegen Filesharing Webseiten. Der Neueinsteiger Musik präsentiert sich in Verbindung mit dem Thema Unterhaltung passend zum Anstieg der in Tabelle 2 beschriebenen Werte des Schädlings Trojan.Wimad.Gen.1. Da, wie oben erwähnt, das Tauschen von Dateien in P2PNetzwerken immer mehr in den Fokus von behördlichen Ermittlungen rückt, weichen die User auf andere Methoden aus, um an die gewünschten Dateien zu gelangen. Dazu zählt auch der direkte Download der Dateien von Webseiten, ohne spezielle Software. Hier bieten sich dann die altbekannten Szenarien: Die Webseite ist möglicherweise infiziert und attackiert den Besucher oder auf der Webseite sind manipulierte Dateien zu finden, die den Schadcode nach dem Starten auf dem Rechner installieren. Außerdem könnte die Webseite auch in eine Phishing-Falle sein, die vor dem Download nach Benutzerdaten jeglicher Art fragt. 14 Als bösartige Webseiten werden in diesem Zusammenhang sowohl Phishing-Seiten als auch Malware-Seiten gezählt Copyright © 2012 G Data Software AG 11 G Data MalwareReport 1/2012 Der Aufstieg von Webseiten mit der Klassifizierung Spiele (von Rang 10 auf 6) ist vor allem durch einen Anstieg von bösartigen Seiten in Bezug auf den Spieleklassiker Starcraft zu erklären. Seiten zu diesem Thema waren dominant in diesem Bereich. Auch die Kategorie Blog ist in der Rangfolge gestiegen (von Rang 8 auf 4) und erinnert erneut daran, dass Massenangriffe auf Blog Systeme eine der beliebtesten Angriffsmethoden darstellen. Egal ob die Angreifer dabei eine bestehende Sicherheitslücke im System ausnutzen oder das Zugangspasswort knacken, bzw. stehlen – sobald sie Zugang haben, sind der Blog und seine Besucher den Angriffen ausgesetzt. Fazit Die Untersuchung der betroffenen Themenbereiche zeigt eindeutig, dass die Gefahr infiziert zu werden immer und überall lauert, es kann jeden treffen! Gerade der Anstieg der Themenkategorie Blog beweist erneut, dass Cyberangreifer versuchen, mit möglichst wenig Aufwand möglichst großen Schaden anzurichten und eine breite Masse an potentiellen Opfern zu erreichen. Massenattacken auf Blog Management Systeme mit Sicherheitslücken gehören zu den gängigen Methoden und sind an der Tagesordnung. Abgesehen davon ist selbstverständlich ein populäres Thema, wie zum Beispiel die Fußball EM 15 oder die olympischen Spiele 16 in diesem Jahr, durch eine potentiell höhere Besucherzahl ein attraktiveres Ziel. Für eine erfolgreiche Malware- oder Spamkampagne werden Angreifer sowohl ihre eigenen Webseiten aufsetzen und spezielle Domains dafür registrieren, oder sie versuchen existierende Systeme zu hacken, um ihre Popularität und Struktur auszunutzen. 15 http://blog.gdatasoftware.com/blog/article/homepages-of-several-famous-european-football-clubs-hacked.html http://www.gdata.de/pressecenter/artikel/article/2831-olympia-2012-sportfans-im-vis.html Copyright © 2012 G Data Software AG 16 12 G Data MalwareReport 1/2012 Kategorisierung nach Server-Standort Als Ergänzung zu der Betrachtung der involvierten Themengebiete ist es außerdem interessant, einen Blick auf die lokale Verteilung der bösartigen Webseiten zu werfen. Die globale Weltkarte in Abbildung 6 zeigt an, wie hoch die Zahl der gehosteten, bösartigen Webseiten in einem Land ist. Weniger beliebte Server-Standorte Beliebte Server-Standorte Abbildung 6: Flächenkartogramm mit Informationen zur Häufigkeit der gehosteten, bösartigen Webseiten in den Ländern Im Gegensatz zum zweiten Halbjahr 2011 haben sich die Verhältnisse etwas verschoben. Frankreich hat seinen europäischen Spitzenplatz abgegeben und wurde von Deutschland abgelöst. Die Anzahl bösartiger Webseiten in der Türkei ist stark gesunken, im Gegensatz zur vorherigen Untersuchung. Generell haben europäische Länder in ihrer Bedeutung für das Hosting von bösartigen Webseiten keine große Veränderung durchschritten – lediglich die Zahlen des Vereinigten Königreiches, Schwedens und der Niederlande haben moderat zugenommen. In Übersee zeigt sich ebenfalls ein vertrautes Bild: Die USA gelten weiterhin als das Land mit den meisten bösartigen gehosteten Webseiten und die Zahlen im asiatischen Bereich sind für China und Thailand gestiegen, in Indien allerdings gefallen. Copyright © 2012 G Data Software AG 13 G Data MalwareReport 1/2012 Online-Banking Das erste Halbjahr des Jahres 2012 stand im Zeichen der juristischen Verfolgung einiger der wichtigsten Köpfe hinter Banking-Trojanern. Der Autor des Trojaners SpyEye hatte im Untergrund verkündet, intensiv an der Version 2 seiner Malware zu arbeiten, und deshalb vorerst nicht erreichbar sei. Kurz danach wurde jedoch bekannt, dass einen Klage gegen ihn vorliegt, was wohl der tatsächliche Grund für die Abwesenheit sein dürfte. Neben dem Autor von SpyEye geriet zudem der Autor von ZeuS ins Visier der Ermittler. 17 Q1 2012 Sinowal SpyEye ZeuS Bankpatch Carberp Andere 49,9% 18,2% 16,2% 12,5% 1,9% 1,3% Q2 2012 Bankpatch Sinowal ZeuS SpyEye Andere 34,1% 30,9% 20,4% 13,1% 1,4% Tabelle 4: Anteil der durch BankGuard detektierten Banking-Trojaner Familien in Q1 und Q2 2012 Abbildung 7: Anteil der durch BankGuard detektierten Banking-Trojaner Familen in H1 2012 Während die Verbreitung von SpyEye im zweiten Quartal 2012 dadurch leicht zurückging, war dies bei ZeuS nicht zu spüren. Im Gegenteil: Die Infektionszahlen von ZeuS stiegen rapide an. Das liegt daran, dass der Autor von ZeuS nach der Veröffentlichung des Quellcodes praktisch keine Rolle mehr spielt und die Malware-Autoren basierend auf dem Quellcode nun ihre eigenen Versionen erstellen. An die Stelle von ZeuS selbst sind somit Klone des Trojaners getreten. Die in 2011 erschienenen Klone, wie IceIX und LICAT, waren zwar zahlenmäßig massiv, jedoch noch nicht besonders innovativ. Dies war bei den 2012 erschienenen Klonen anders: Gameover machte damit auf sich aufmerksam, die Kommunikation über Peer-to-Peer-Netzwerke abzuwickeln, statt über herkömmliche Strukturen mit einzelnen zentralen Servern. Da zentrale Server durch die Möglichkeit der Abschaltung durch Ermittlungsbehörden bzw. Provider einen wunden Punkt („single point of failure“) in der Infrastruktur von Botnetzen darstellen, konnte durch die Neuerung eine erhebliche Stabilisierung des Botnetzes erreicht werden. Zudem machte Citadel von sich reden. Die Programmierer bieten Käufern an, Support-Verträge abzuschließen und Feature17 http://krebsonsecurity.com/2012/03/microsoft-takes-down-dozens-of-zeus-spyeye-botnets/ Copyright © 2012 G Data Software AG 14 G Data MalwareReport 1/2012 Wünsche abzugeben – Merkmale, wie sie sonst eher bei kommerzieller Software oder großen OpenSource-Projekten zu finden sind. Nicht nur die Macher hinter ZeuS und dessen selbsternannten Nachfolger SpyEye hatten mit juristischen Problemen zu kämpfen. Es konnten außerdem einige Köpfe hinter dem Trojaner Carberp festgenommen werden. Ende 2011 konnte Carberp noch durch den Einbau eines Bootkits rapide steigende Infektionszahlen vorweisen. Nach den Festnahmen im März 18 und Juni 2012 19 rutschte der Trojaner aber wieder in die Bedeutungslosigkeit ab. Auf gewohnt hohem Niveau zeigten sich die Infektionszahlen von Sinowal. Im zweiten Quartal konnte sich allerdings erstmals Bankpatch an die Spitze der Banking-Trojaner setzen. Dies wurde ermöglicht durch eine ungewöhnliche hohe Aktivität bei der Implementierung neuer Mechanismen zum Ausschalten von Antiviren-Produkten. Die weiteren Trojaner, wie Bebloh, Ramnit, Silentbanker und Gozi, blieben weitestgehend bedeutungslos. Bemerkenswert im ersten Halbjahr 2012 war außerdem die Professionalisierung der Angriffsschemen an sich. So wurde z.B. eine neue SpyEye Variante identifiziert, die die PC-Kamera des Opfers aktiviert und den Videostream für seine Zwecke nutzt. 20 Die früheren Angriffsschemen waren meist relativ einfach. Beispielsweise wurde vom Opfer beim Login in das Online-Banking verlangt, eine große Anzahl von TAN-Nummern einzugeben, die dann an den Angreifer weitergeleitet wurden. Auch wenn die Eingabemaske im Layout der OnlineBanking-Webseite dargestellt wurde, sind aufgrund von Warnungen der Banken offenbar immer weniger Kunden auf diesen klassischen Social Engineering-Angriff hereingefallen. Frühere Angriffsschemen endeten außerdem mit dem Geldtransfer des Kunden zum Angreifer. Es wurden keine Versuche unternommen, den Diebstahl zu verschleiern. Aufmerksame Kunden konnten also unmittelbar feststellen, dass Geld von ihrem Konto fehlte. Da Banken verdächtige Transfers zunehmend intern eine Zeit lang zurückhalten, konnten Kunden durch eine schnelle Benachrichtigung an die Bank den tatsächlichen Transfer noch stoppen. Neuere Methoden gehen dabei ausgeklügelter vor: Bei sogenannten Automatic Transfer System (ATS) Schemen 21, läuft der gesamte Diebstahl ohne Interaktion des Kunden ab. Außerdem werden der Kontosaldo sowie die Transaktionsliste so manipuliert, dass der Diebstahl für das Opfer völlig unbemerkt abläuft. Die G Data BankGuard-Technologie verhindert auch diese Angriffe zuverlässig, da bereits das Einfügen des zu Grunde liegenden Codes – die sogenannte Man-in-the-Browser-Attacke – verhindert wird. Im ersten Halbjahr 2012 wurde kein Banking-Trojaner bekannt, der eine andere Angriffsform wählt und nicht von G Data BankGuard erkannt wird! Für die zweite Jahreshälfte 2012 bleibt festzuhalten, dass gewiss andere Personen aus den Untergrundkreisen versuchen werden, die Rollen der Autoren von ZeuS und SpyEye zu übernehmen. Es würde allerdings nicht verwundern, wenn sie sich etwas mehr im Hintergrund halten, um juristische Verfolgung zu erschweren. Zudem ist mit einer weiteren Professionalisierung der Angriffsschemen zu rechnen. 18 http://group-ib.com/?view=article&id=664 http://group-ib.com/index.php/o-kompanii/176-news/?view=article&id=633 20 http://blog.gdatasoftware.com/blog/article/spyeye-living-up-to-its-name.html 21 https://www.net-security.org/malware_news.php?id=2163 Copyright © 2012 G Data Software AG 19 15 G Data MalwareReport 1/2012 Mobile Malware Die Attraktivität mobiler Endgeräte für Schadcode-Autoren steigt mit dem anhaltenden Wachstum des Smartphone Marktes. Wurden im Dezember 2011 weltweit 700.000 Android OS Geräte am Tag aktiviert, waren es im Juni 2012 bereits 900.000 Geräte am Tag. 22 Schadsoftware-Autoren sehen in der Erschließung dieses Marktes nicht mehr nur die Möglichkeit mit wenig Aufwand schnell an das Geld der Nutzer zu gelangen. Der Trend bewegt sich hin zu Malware, die den Autoren auf nachhaltige Weise einen Geldeingang zusichert. Die in freier Wildbahn befindliche Malware lässt es Screenshot 2: Andy Rubins Tweet zu Aktivierungen von Android-Geräten jedenfalls nicht an Vielfalt (Quelle: http://twitter.com/ARUBIN) mangeln. Es wimmelt vor Trojanern, Viren, Riskware und Hintertüren, den sogenannte Backdoors,. Diese Schädlinge lassen sich jedoch nicht mehr lediglich an schlecht aufgemachten oder fehlerhaft programmierten Apps erkennen. Das ist unter anderem darauf zurück zu führen, dass die Autoren solcher Malware immer versierter und sorgfältiger die schadhaften Funktionen in einer App verstecken - so hat die Mehrzahl an mobiler Malware durchaus die angepriesene Funktionalität. Gegen diese optisch und technisch ausgefeilten Methoden, verborgene Inhalte vorzuenthalten, haben auch aufmerksame Benutzer kaum eine Chance. Größtmöglichen Schutz bietet hier die Kombination aus Downloads aus vertrauenswürdigen Quellen und einer umfassenden Schutzsoftware für das Auffinden von unsichtbaren Gefahren. Die Ansprüche, die Schadsoftware-Autoren an die Malware stellen, steigen. Im Jahr 2011 beschränkte sich ein Hauptteil der kursierenden Malware für mobile Endgeräte noch auf das schnelle Geld in Form von Premium-SMS und Premium-Anrufen, die meistens erst auf einer monatlichen Rechnung sichtbar wurden. Die Schadsoftware verbarg sich dazu in vertrauenswürdigen und bekannten Anwendungen und war überwiegend auf Webseiten oder in Drittanbietermärkten zu finden. Ebenso beliebt unter den Schadsoftware-Autoren war das Ausspionieren der Nutzer und Geräte. Angefangen von Werbebannern in Apps, die auf fragwürdige Webseiten weiter leiteten, auf denen der Nutzer dann gebeten wurde seine persönlichen Daten einzugeben, um ein Spiel kostenlos nutzen zu können, hin zu Benachrichtigungen, sog. Notifications, die unabhängig von der ursprünglich installierten App den Nutzer dazu animieren wollten, andere Apps zu installieren oder Freunden per SMS oder Email weiter zu empfehlen. In 2012 zeigten sich auch komplett nachprogrammierte oder sogar neue originale Apps, die den angepriesenen Funktionsumfang vollkommen abdeckten und zusätzlich die verborgenen Schadfunktionen beinhalteten. Das führte dazu, dass selbst im offiziellen Google Play Store Malware für mehrere Tage oder sogar Wochen verweilen konnte, bevor sie entdeckt wurde. Selbst für den versierteren Benutzer ist nicht auf Anhieb zu erkennen, dass sich hinter einer beliebten und vielfach heruntergeladenen App ein Schädling verbirgt. 22 Siehe Screenshot 2 Copyright © 2012 G Data Software AG 16 G Data MalwareReport 1/2012 So bewahrheitet sich der im letzten MalwareReport prognostizierte, düstere Ausblick, der auf das Jahr 2012 gegeben wurde. Zudem nimmt nicht nur die Menge an Schadsoftware zu 23, sondern wohl auch die Anzahl an Schadsoftwareautoren. Doch auch im Bereich Mobile gibt es rechtliche Schritte gegen Schadcode-Autoren zu vermelden, wie z.B. die Anklage gegen zwei Männer in Frankreich, die mit Android-Schadcode bis zu 100.000€ verdient haben sollen. 24 Screenshot 4: Der Trojaner MMarketpay verbirgt sich in der voll funktionstüchtigen Wetter App GO Weather Screenshot 3: Der Trojaner FakeDoc tarnt sich in einer Batterie Booster App Im ersten Halbjahr 2012 infizierte der Trojaner FakeDoc, auch bekannt als Battery Doctor, mit Hilfe eines sehr erfolgreichen Konzeptes eine Vielzahl an Android Geräten. Vordergründig eine App, die dazu dienen soll, die Batterienutzung des Mobilgerätes zu optimieren, besitzt der Trojaner außerdem weitreichende und ausgeklügelte Schadfunktionen. Der Nutzer bekommt von den Vorgängen nur bedingt etwas mit. FakeDoc spioniert nicht nur das infizierte Gerät und den Benutzer aus. Er versendet zusätzlich gesammelte Daten an einen entfernten Server und zeigt zudem noch unerwünschte Werbebenachrichtigungen an, selbst wenn die eigentliche App wieder deinstalliert ist. Zu den gesammelten Daten gehören Google Account Informationen, die Version des Betriebssystems und des Browsers, die GPS Position des Gerätes, die Telefonnummer, sowie die IMEI des Gerätes, die dieses eindeutig identifizierbar macht. Das Besondere an den Funktionalitäten des Trojaners ist jedoch der sogenannte Push Service, der, als eigenes Modul installiert, kleine Benachrichtigungen einblendet. Dieser Service wird hier genutzt, um Werbebanner anzuzeigen, bei denen die Angreifer pro Klick verdienen – eine Masche, wie sie auch schon bei PC Schadprogrammen weit etabliert ist. Wie erwähnt: Selbst wenn der Nutzer einen Zusammenhang zwischen den Einblendungen und der Battery Doctor App herleiten sollte und diese entfernt, bleiben die Benachrichtigungen erhalten und lassen so die Kassen der Angreifer weiter klingeln. 23 Siehe Kapitel „Android-Schadcode: Wann kommt die Flut?“, Seite 6 http://www.linformaticien.com/actualites/id/23741/2000-utilisateurs-d-android-escroques-en-seine-saint-denis.aspx Copyright © 2012 G Data Software AG 24 17 G Data MalwareReport 1/2012 Ebenfalls quantitativ auffällig wurden im vergangenen Halbjahr folgende Schädlinge: Die Hintertür Android.Backdoor.Plankton.A, kurz Plankton. Mit der Backdoor infizierte Telefone versenden z.B. den Browser-Verlauf und die Lesezeichen, sowie u.a. die IMEI und IMSI an ein vom Angreifer definiertes Ziel. Das Gerät eines Benutzers kann so eindeutig identifizierbar gemacht werden. Android.Trojan.BaseBridge.A, kurz BaseBridge, oder auch der immer noch sehr weit verbreitete Android.Trojan.Geimini.E, kurz Geimini, der in den ersten Varianten bereits 2010 entdeckt wurde bleiben ebenfalls im ersten Halbjahr 2012 aktiv. Zurück zu führen ist der anhaltende Erfolg auf die schiere Menge an befallenen Apps. So fand sich ebenfalls der Banking-Trojaner Zeus-in-the-Mobile (ZitMo), der per SMS empfangene mTans an einen Server weiter leitet, nach wie vor in freier Wildbahn. Besonders beliebte Apps blieben auch in 2012 weiterhin das Ziel von Malware-Autoren. Dabei muss es nicht immer an einer befallenen App liegen, dass Angreifer die Möglichkeit bekommen, an Daten und Informationen über Nutzer zu gelangen: Im Fall des populären Kurznachrichten-Dienstes WhatsApp, der sich mittlerweile auf Smartphones als SMS Ersatz etabliert hat, konnte ein Angreifer alle versendeten Daten, Bilder, Nachrichten und GPSPositionen abfangen, ohne die App selbst verändert zu haben. 25 Dies war aufgrund fehlerhafter Programmierung der WhatsApp Applikation möglich: Über WLAN wurden alle Daten unverschlüsselt verschickt und waren sind somit abhörbar (Ausnahme: Blackberry). Ein von einem Softwareentwickler veröffentlichter sog. Sniffer macht es selbst unerfahreneren Angreifern besonders einfach diesen Umstand auszunutzen. Apps, die derartige Sicherheitslücken ausnutzen und trojanisierte Apps, egal ob neu entwickelt oder als manipulierte Kopie von erfolgreichen, gutartigen Screenshot 5: Eine Konversation kann mit Hilfe Anwendungen, werden auch weiterhin stetig des WhatsApp Sniffers einfach mitgelesen nachwachsen, da hier das Verhältnis zwischen werden. Inklusive mitgeschickter Bilder. Arbeitsaufwand und Profit immer noch sehr attraktiv ist. Die zeitnahe Erkennung durch Sicherheitslösungen, gepaart mit dem immer weiter verbreiteten Bewusstsein der Smartphone- und Tablet-Besitzer neben dem PC auch ihr Mobilgerät zu schützen, stehen dem entgegen. Trotz des Anfang 2012 vorgestellten Google Bouncer, der sowohl Android Entwickler Accounts als auch bereits veröffentlichte, sowie neu eingestellte Apps im offiziellen Market Google Play scannt, fand sich auch im ersten Halbjahr 2012 nach wie vor Malware in Google Play. Der Google Bouncer (deutsch: Türsteher) ist ein Schutzmechanismus, der verhindern soll, dass gefährliche Apps im Angebot von Google überhaupt erst veröffentlicht werden können. Im Juni 2012 demonstrierten jedoch zwei Forscher in den USA, dass sich der Bouncer durchaus austricksen lässt 26 und stellten die Wirksamkeit dieses Schutzmechanismus damit offiziell zur Diskussion. 25 http://blog.gdatasoftware.com/blog/article/using-whatsapp-in-wifi-makes-conversations-public.html https://blog.duosecurity.com/2012/06/dissecting-androids-bouncer/ Copyright © 2012 G Data Software AG 26 18 G Data MalwareReport 1/2012 Dass nach wie vor Malware in den Google Play Store gelangt, ist auch weiterhin auf die nicht eindeutigen Richtlinien von Google zurück zu führen. Sogar zuvor als Malware deklarierte und aus Google Play entfernte Apps werden nach geringen Modifikationen wieder zugelassen. Der verwendete Trick der Schadsoftware Autoren besteht darin, zunächst genutzte, kostenpflichtige Dienste der App tatsächlich bei den Berechtigungen vor der Installation abzufragen. Diese erste Hürde, die wenige, aufmerksame Benutzer aufmerken lässt, ist dennoch sehr niedrig. Ein Großteil der Nutzer übergeht diese meist, in der falschen Sicherheit, sich im offiziellen Google Market zu bewegen. Dass hier kostenpflichtige Dienste und Bezahlsysteme durchaus üblich sind, ist den meisten Nutzern nicht bewusst. Zumal hinter einer sehr simplen App gar nicht erst Kosten vermutet werden. Screenshot 6: Apps von Typ3-Studio, die durch geringe Modifikationen wieder in den Google Market gelangten. Darüber hinaus wird solch ausgeklügelten Apps meist eine eher fragwürdige EULA hinzugefügt, welcher der Benutzer mit Nutzung der App automatisch zustimmt. Weitere Anpassungen sind zum Beispiel die geforderte Verschlüsselung von übertragenen Daten. Die vermeintliche Sicherheit, die Google Play, als offizieller Market, bietet, ist ein Grund dafür, warum G Data für die Detektionen die Kategorie Riskware (deutsch: riskante Software) eingeführt hat. Diese Kategorie soll das Bewusstsein dafür schärfen, dass manche Apps zwar keine Malware im strengeren Sinne sind und sogar den Google Richtlinien genügen, aber trotzdem potentiell ungewollte Funktionalitäten vorkommen können. Ein Beispiel für sogenannte Riskware ist Android.Riskware.SndApps.B, kurz SndApps. 27 Startet der Benutzer die App, sieht er lediglich ein Bild, das bei Berührung einen Ton abspielt. Bei der App "Whoopee Cushion" ist es zum Beispiel ein Flatulenzgeräusch. Der Vorgänger, Android.Trojan.SndApps.A, wurde im Juli 2011, kurz nach dem Erscheinen, aus dem Google Market entfernt. Der durch eine ausführliche EULA ergänzte zweite Satz der Apps des Publishers Typ3-Studios findet sich seit August 2011 und nach wie vor im offiziellen Google Play Store. Ergänzend werden die von der App verschickten Daten, wie in den Google Richtlinien gefordert, verschlüsselt. Riskant für den Nutzer ist, dass die EULA der App nur über einen Umweg aufspürbar 27 http://blog.gdatasoftware.com/blog/article/malware-or-not-malware-thats-the-question.html Copyright © 2012 G Data Software AG 19 G Data MalwareReport 1/2012 ist. Drückt der Benutzer an seinem Gerät den Menü Button, wird ihm in der App ein Feld zum Anzeigen der EULA angeboten. Besitzt das Smartphone jedoch keinen Menü Button, bzw. ist dieser ausgeblendet, wird der Nutzer nicht zu der EULA gelangen. Im zweiten Halbjahr 2012 werden sich die Fälle von automatisierten Downloads von APK Dateien (Installationsdateien für Android) auf Android OS-Geräte häufen. Dabei surft der Nutzer selbst, oder durch eine App veranlasst, mit dem Browser seines Mobil-Geräts eine Webseite an. Dort wird ein vom Nutzer unbeabsichtigter, automatischer Download einer App auf das Gerät initiiert. Eine weitere Möglichkeit ist, dem Benutzer in einer App eine andere App anzubieten, die beim Klick auf das Icon direkt einen Download startet, anstatt den Nutzer auf Google Play zum Download umzuleiten. Dies ist für Schadsoftwareautoren ein einfacher und zuverlässiger Weg Malware zu verbreiten, da dem Benutzer die Entscheidung, eine App herunter zu laden, abgenommen wird. Die Malware gelangt also garantiert auf das Gerät und muss lediglich noch die Hürde nehmen, dass der Benutzer die Installation manuell einleitet, oder bestätigt. Benutzer von Android OS Smartphones sollten sich daher nach wie vor nur auf vertrauenswürdige Quellen für den App-Download beschränken und sollten sich zudem immer auch die Beschreibung der App, die Berechtigungen und letztlich auch die vorhandenen Bewertungen ansehen, bevor sie sich dazu entscheiden eine App zu installieren. Würde dann Schadsoftware versuchen zum Beispiel eine App von einem Server in China herunter zu laden, wäre dies mit den allgemein empfohlenen Sicherheitseinstellungen 28 Screenshot 7: Sicherheitseinstellung im Androidnicht möglich. Gerät; Nutzer sollten unbekannte Quellen meiden Das starke, anhaltende Wachstum neu registrierter Android Geräte und die wachsende Bereitschaft zur Nutzung neuer Medien und Funktionalitäten wird auch weiterhin für eine steigende Anzahl mobiler Malware sorgen. Der Trend wird sich aber zunehmend dahin bewegen, dass Bösewichte ausgeklügeltere Malware entwickeln. Die Möglichkeiten sind auch hier noch lange nicht ausgeschöpft, so dass sich auch an die Schadsoftware Autoren immer neue Anforderungen stellen. Der Bereich NFC Bezahlung (z.B. Google Wallet) ist für den europäischen Markt weiterhin eher eine Zukunftsaussicht. Die Geräte, die NFC von sich aus benutzen können, sind noch nicht flächendeckend verfügbar und so werden Angriffsszenarien zunächst wohl eher im wissenschaftlichen Bereich erstellt und später „in the wild“ zu finden sein, wenn sich das System im Alltag durchgesetzt hat. Das Marktforschungsunternehmen Gartner prognostiziert für 2012 einen Anstieg bei den mobilen Bezahlsystemen um 51,7 Millionen Nutzern auf 212,2 Millionen Nutzer, wobei der Bereich NFC auch in ihren Schätzungen bisher eine untergeordnete Rolle spielt und sie die Zunahme von NFC Bezahlungen auf 2015/2016 datieren. 29 Bedrohungsszenarien dieser Art werden auch zukünftig für Unruhe sorgen. Der Bedarf nach Schutz vor potentiellen Risiken wird entsprechend steigen. Man darf jedoch nicht vergessen, dass Schutzmechanismen nur wirksam sein können, wenn sie auch befolgt und genutzt werden. Angreifer werden demnach auch im zweiten Halbjahr 2012 erfolgreich sein, solange es unvorsichtige Nutzer gibt, die es ihnen leicht machen. 28 Siehe Screenshot 7 http://www.gartner.com/it/page.jsp?id=2028315 Copyright © 2012 G Data Software AG 29 20