G Data MalwareReport 1/2012

Transcription

G Data MalwareReport 1/2012
G Data
MalwareReport
Halbjahresbericht
Januar – Juni 2012
G Data SecurityLabs
G Data MalwareReport 1/2012
Inhalt
Auf einen Blick...................................................................................................................................... 2
Malware: Zahlen und Daten ................................................................................................................ 3
Ebbe und Flut .................................................................................................................................................................3
Kategorien: Spyware ist stark im Kommen ..........................................................................................................3
Plattformen: >>Windows rulez!<< .........................................................................................................................5
Android-Schadcode: Wann kommt die Flut? ......................................................................................................6
Wie gefährdet ist Mac OS X? .....................................................................................................................................7
Gefahren-Monitor ................................................................................................................................ 9
Webseiten-Analysen .......................................................................................................................... 11
Kategorisierung nach Themen .............................................................................................................................. 11
Kategorisierung nach Server-Standort............................................................................................................... 13
Online-Banking .................................................................................................................................. 14
Mobile Malware .................................................................................................................................. 16
Copyright © 2012 G Data Software AG
1
G Data MalwareReport 1/2012
Auf einen Blick
•
•
•
•
•
•
•
Die Anzahl neuer Schadprogrammtypen steigt auf 1.381.967. Das Wachstum zum letzten
Halbjahr 2011 beträgt aber nur noch 3,9%.
Gerade in der Kategorie Spyware gibt es Zuwachs und sie ist damit nun die zweitgrößte
Kategorie.
Die Anzahl neuer Downloader und Backdoors steigt ebenfalls, was darauf hinweist, dass
bestehende Botnetze gepflegt werden.
Der Anteil von Windows-Malware steigt auf 99,8%.
Es sind 25.611 neue Android-Schaddateien in den G Data SecurityLabs eingetroffen.
Banking-Trojaner zeigen teils neue Angriffsschemen, aber Sinowal bleibt Spitzenreiter.
In allen Bereichen zeigte sich, dass Angreifer mit möglichst geringem Aufwand möglichst
viel Profit ergaunern wollen.
Ereignisse
•
•
•
•
Im Umfeld von ZeuS/SpyEye und auch Carberp gerieten einige Personen ins Visier von
Ermittlern.
Der komplexe Flame Schadcode sorgte im Mai 2012 für Aufruhr und erlangte nach Stuxnet
und Duqu viel Aufmerksamkeit in der Riege der gezielten Cyber-Spionage-Schädlinge.
„Operation Ghost Click‘‘: DNSChanger Schadcode infizierte Rechner rund um den Globus
und sorgte bei betroffenen für Internet-Verbindungsprobleme.
Die beliebte Messenger WhatsApp für Smartphones machte negative Schlagzeilen, da
jegliche im WLAN gesendeten Daten mitgeschnitten werden konnten.
Ausblick für das zweite Halbjahr 2012
•
•
•
•
Die Anzahl der neuen Schadprogrammtypen wird nicht dramatisch steigen.
Neue Banking-Trojaner werden kommen und weiter professionalisiert.
Android Schadsoftware wird ausgeklügelter und die Fallzahlen werden weiter steigen.
Für die Plattform Mac OS werden finanziell motivierte Schädlinge adaptiert werden.
Copyright © 2012 G Data Software AG
2
G Data MalwareReport 1/2012
Malware: Zahlen und Daten
Ebbe und Flut
Die Anzahl neuer Computer-Schädlinge steigt schon seit Jahren kontinuierlich an. Das ist auch im
ersten Halbjahr 2012 der Fall. Insgesamt sind 1.381.967 neue Schadprogrammtypen 1 aufgetaucht.
Das sind ca. 3,9% mehr als im letzten Halbjahr und 11,0% mehr als ein Jahr zuvor. Die G Data
SecurityLabs verzeichneten im ersten Halbjahr durchschnittlich 316 neue Schadprogrammtypen pro
Stunde. Für das zweite Halbjahr zeichnet sich keine dramatische Steigerung ab. Für 2012 erwarten
wir eine leichte Zunahme gegenüber dem Vorjahr – voraussichtlich wird die Marke von drei
Millionen Computerschädlingen nicht geknackt.
Abbildung 1: Anzahl neuer Schadprogramme pro Jahr seit 2006
Kategorien: Spyware ist stark im Kommen
Schadprogramme können anhand der schädlichen Aktionen, die sie auf einem infizierten System
ausführen, klassifiziert werden. Die wichtigsten Kategorien sind in Abbildung 2 dargestellt. Die
Gruppe der Spyware zeichnet u.a. Tastaturaktivitäten auf, durchsucht das System nach Passwörtern,
Zugangsdaten für Spiele, E-Mail-Portale und Finanzdienstleister oder manipuliert
Finanztransaktionen. Ihr Anteil ist im ersten Halbjahr 2012 erneut gewachsen, auf 17,4%.
Insbesondere die Anzahl der Spyware-Schädlinge, die es auf Zugangsdaten von Spielen abgesehen
haben, hat deutlich zugenommen. Auch die Anzahl der Banking-Trojaner in der Kategorie Spyware
ist um knapp 14% angestiegen. Online-Banking hat sich als Markt in der Underground-Economy
1
Die Zahlen in diesem Report basieren auf der Erkennung von Malware anhand von Virensignaturen. Sie basieren auf Ähnlichkeiten im
Code von Schaddateien. Viele Schadcodes ähneln sich und werden dann in Familien zusammengefasst, in denen kleinere Abweichungen
als Variationen erfasst werden. Grundlegend unterschiedliche Dateien begründen eigene Familien. Die Zählung basiert auf neuen
Signaturvarianten, auch Schadprogrammtypen genannt, die im ersten Halbjahr 2012 erstellt wurden.
Copyright © 2012 G Data Software AG
3
G Data MalwareReport 1/2012
etabliert. Damit belegt Spyware den zweiten Rang hinter der Gruppe der Trojanischen Pferde, in der
vielfältige Schadfunktionen zusammengefasst sind.
Abbildung 2: Anzahl neuer Schädlinge pro Malwarekategorie in den letzten fünf Halbjahren
Auch die Anzahl der Backdoors, Downloader und Tools steigt, was zeigt, dass weiterhin viele
Rechner in Botnetze integriert werden. Die Downloader sorgen dafür, dass nach der Infektion
Schaddateien auf den infizierten Rechner aufgespielt werden. Die Backdoors ermöglichen dann die
Fernsteuerung der Rechner und deren Integration in ein Botnetz. Die Tools werden dazu genutzt,
um automatisiert Infektionen vorzubereiten, Botnetze zu verwalten oder die Zombie-Rechner für
kriminelle Zwecke - wie etwa den Versand von Spam - einzusetzen.
Screenshot 1: Collage aus Sperrbildschirmen internationaler RansomSchädlinge
Copyright © 2012 G Data Software AG
Ebenfalls zugenommen hat
die Anzahl der
Ransomware, als Teil der
Trojaner. Diese Programme
sperren den Rechner oder
verschlüsseln Dateien und
verlangen dann unter
verschiedenen Vorwänden
ein Lösegeld, das per uKash,
paysafecard oder einem
anderen anonymen
Bezahldienst gezahlt
werden soll. Als Vorwand
sind eine fehlende
Windows-Registrierung, der
Download von
urheberrechtlich
geschützten Dateien oder
der Besitz von illegaler
Software üblich. Die
4
G Data MalwareReport 1/2012
Zahlungsaufforderung wird oft verstärkt, indem der Name einer gewichtigen Organisation
missbraucht wird. Polizeibehörden, Microsoft oder Organisationen, die Urheberrechte vertreten, wie
die GVU oder die GEMA, treten in diesem Zusammenhang häufig auf.
Das Verbreiten der Verschlüsselungs-Trojaner und von FakeAV-Schädlingen ist aus Sicht der
Angreifer lukrativ, denn die gezahlten Lösegelder fließen direkt in die Taschen der Angreifer – sie
müssen keinerlei Zwischenhändler einschalten (z.B. die sogenannten Money Mules) oder selbst
weiter aktiv werden, um an die Beute zu gelangen. Aus der Erfahrung heraus geht es der Masse an
Cyberkriminellen darum, möglichst viel Profit mit möglichst geringem Aufwand zu erzielen, wobei
das sowohl für PC-Malware als auch für Schadcode gilt, der es auf mobile Endgeräte 2 abgesehen hat.
Plattformen: >>Windows rulez!<<
Computerprogramme werden für bestimmte Betriebssysteme oder Arbeitsumgebungen
geschrieben. Das gilt auch für Malware. Seit Jahren nimmt Windows in diesem Bereich einen breiten
und wachsenden Teil ein. Das ist auch im ersten Halbjahr 2012 nicht anders. Malware für Windows 3
konnte ihren Anteil um weitere 0,2% auf 99,8% steigern. Nach wie vor entstehen die meisten neuen
Schädlinge im Windows-Umfeld. Der dritte Platz wird von Schadprogrammen in Webseiten
behauptet. Hier lässt allerdings die signaturbasierte Zählung keine klaren Rückschlüsse über die
Anzahl neuer Schädlinge zu. Das Gros der WebScripts wurde früher und wird auch heute noch durch
generische Signaturen erkannt und somit sind keine neuen Signaturen nötig, die sich als „neu“ in
den Statistiken wiederfinden würden. Ähnliches gilt auch für die Zahlen zu mobilen Plattformen und
Malware für Apple-Rechner. Die Zahlen im Kapitel „Gefahren-Monitor“, Seite 9, sind hier viel
aufschlussreicher, da sie die tatsächlichen Attacken als Grundlage haben.
Plattform
#2012 H1
Anteil
#2011 H2 Anteil
1
Win
1.360.200
98,4%
1.305.755 98,2%
2
MSIL
18.561
1,4% 4
18.948
1,4%
3 WebScripts
1.672
0,1%
2.402
0,2%
4
Java
662
<0,1%
244
<0,1%
5
5
Scripts
483
<0,1%
626
<0,1%
Tabelle 1: Top 5 Plattformen der letzten beiden Halbjahre
2
Diff.
#2012H1
#2011H2
+4,2%
-2,0%
-30,4%
+171,3%
-22,8%
Diff.
#2012H1
#2011H1
+11,7%
-14,6%
-46,5%
+111,5%
-42,0%
Siehe Kapitel „Mobile Malware“, Seite 12.
Als Malware für Windows betrachten wir ausführbare Dateien im PE-Format, die dort für Windows deklariert werden, oder ausführbare
Dateien, die in der Microsoft Intermediate Language (MSIL) erstellt wurden. MSIL ist das Zwischenformat, das im .NET-Umfeld verwendet
wird. .NET-Anwendungen sind zwar weitestgehend plattformunabhängig, sie werden aber de facto fast ausschließlich auf WindowsRechnern verwendet.
4
An dieser Stelle wurde ein Rundungsfehler korrigiert, von fälschlicherweise 1,3% auf 1,4%.
5
"Scripts" sind Batch- oder Shell-Skripte oder Programme, die in den Skriptsprachen VBS, Perl, Python oder Ruby geschrieben wurden.
Copyright © 2012 G Data Software AG
5
3
G Data MalwareReport 1/2012
Android-Schadcode: Wann kommt die Flut?
Für die Zählung der Android-Malware können unterschiedliche Werte herangezogen werden. Eine
Zählweise basiert auf der Auswertung der Anzahl neuer Schaddateien. In den G Data SecurityLabs
sind im ersten Halbjahr 2012 insgesamt
25.611 neue Schaddateien 6 eingetroffen.
Leider ist es schwierig, die zeitliche
Verteilung der einzelnen Samples 7
abzubilden, da nicht zu jedem Sample auch
das genaue Datum zur Verfügung steht, an
dem die Datei zum ersten Mal registriert
wurde. 8 Abbildung 3 zeigt die Verteilung
der Samples, die eindeutig einem Datum
Abbildung 3: Verteilung der Samples mit eindeutigem Datum
zugeordnet werden konnten.
Die Dateien, die nicht klar einem Datum zugeordnet werden konnten, stammen in den meisten
Fällen aus Sammlungen, die Schaddateien aus einem längeren Zeitraum umfassen. Wenn man diese
Dateien gleichmäßig auf die Vormonate verteilt 9, ergibt sich die Verteilung aus Abbildung 4. Nach
dieser Berechnung steigt die Anzahl neuer Android Schaddateien kontinuierlich.
Abbildung 4: Zeitliche Verteilung der Samples nach Angleichung
Die einzelnen Dateien kann man anhand von Signaturen 10 bestimmten Familien und ihren
Varianten zuordnen. Die 25.611 Schaddateien können auf 737 Schädlingsvarianten abgebildet
werden. Die 737 Schädlingsvarianten basieren auf 217 Schädlingsfamilien. Davon sind im letzten
6
Ein Android Schädling kann aufgrund mehrerer Dateien identifiziert werden. Das Installationspaket (APK) enthält viele weitere Dateien,
die u.a. den Code und den Eigenschaften enthalten. Bei der vorliegenden Zählweise werden Erkennungen für APK und ihre jeweiligen
Komponenten zu einer Schaddatei zusammengefasst, auch wenn tatsächlich mehrere Dateien in unserer Sammlung vorliegen.
7
„Samples“ steht als Begriff für Schadcode-Dateien. Unterschieden werden Samples, die auch Muster oder Stichproben genannt werden
können, durch ihre Prüfsummen.
8
53,1% der Schaddateien konnten einem exakten Datum zugeordnet werden. Die Zuordnung wurde am 23.8.2012 durchgeführt.
9
In der aktuellen Berechnung wurde die rückwirkende Verteilung auf 6 Monate vorgenommen.
10
Die Zählung der Signaturen und Varianten basiert auf den Signaturen der G Data MobileSecurity Produkte
Copyright © 2012 G Data Software AG
6
G Data MalwareReport 1/2012
Halbjahr 80 neu hinzugekommen. Die Familien mit der größten Anzahl an Varianten gehen aus
Tabelle 2 hervor:
Wir gehen davon aus, dass die Anzahl neuer Schaddateien weiterhin
steigt und auch die Anzahl der neuen Familien kontinuierlich
zunehmen wird, da Malware-Autoren sich bisher unbekannte
Angriffsszenarien ausdenken werden, die dann in neuen Familien
beschrieben werden.
Familie
FakeInst
Jifake
OpFake
KungFu
BaseBridge
GinMaster
JSmsHider
RuFraud
Adrd
MobileSpy
# Varianten
59
50
44
39
21
20
15
15
13
13
Tabelle 2: Liste der AndroidFamilien mit den meisten
Varianten in H1 2012
Wie gefährdet ist Mac OS X?
Seit Jahren wird der Malware-Markt von Schädlingen für Windows dominiert. Andere Plattformen
spielten und spielen bislang keine große Rolle. Nutzer von Windows mussten sogar schon spöttische
Werbekampagnen mit verschnupften Windows-PCs über sich ergehen lassen. Jetzt sieht es
allerdings so aus, als ob auch die Nutzer von Apples Mac OS X auf die Gesundheit ihrer Systeme
achten müssen.
In den letzten Jahren wurden nur wenige Schädlinge für Mac OS X bekannt. 2006 brachte mit Leap
den ersten Wurm für Mac OS X hervor. Leap verschickte sich als TGZ-Archiv an alle Kontakte in iChat.
Die Reichweite blieb gering und Leap blieb für lange Zeit der einzige Schädling für Mac OS. Im Jahr
darauf erschien mit DNSChanger ein Trojanisches Pferd, das sich als Quicktime-Codec ausgibt und
nach der Installation persönliche Daten stahl. Die unter Windows bewährte Social-Engineering
Masche fand unter den Mac OS Nutzern bisweilen nur wenige Opfer.
2008 wurden Mac OS-Rechner dann mit MacSweeper auch von einer ersten kleinen ScarewareWelle erfasst. Abgesehen von nervigen Meldungen verlangte der Schädling 39,99$, die per
Kreditkarte zu zahlen waren. Auch Spyware wurde kurz darauf für Mac OS X adaptiert (z.B. Hovdy).
2009 erschien dann mit IService ein Schädling, der sich als iWorks ausgab und den Rechner per
Backdoor in ein Botnetz integrierte. Trotz der inzwischen vorhandenen Spyware, Backdoors und
eigenen Verbreitungsmöglichkeiten blieb es bis dahin weiterhin sehr ruhig um Mac OS Malware.
Anfang 2010 hat offenbar die Gruppe, die WinWebSec-Scareware insbesondere unter Windows
sehr erfolgreich verbreitet hat, Mac-Nutzer ins Visier genommen. Produkte namens MacDefender,
MacSecurity und MacProtector haben eine sehr ähnliche Aufmachung. Sie wurden über
manipulierte Google Bildersuchen auf die Rechner geschleust. Häufige Einblendungen von
Pornoseiten sollten die Mac Nutzer davon überzeugen, dass der Rechner infiziert ist und eine
Schutz-Software braucht. Nach Insider-Berichten war Apples-Hotline mit Anfragen überlastet. Eine
Copyright © 2012 G Data Software AG
7
G Data MalwareReport 1/2012
Anleitung zur Entfernung des Schädlings gab es aber erst zögerlich. Eine andere Variante, namens
MacGuard, kam im Look-and-Feel von Mac OS X Programmen daher und installiert sich ohne
Abfrage des Passworts.
Im Februar 2012 wurden erste Varianten des Mac-Schadprogramms Flashback gefunden, die
Sicherheitslücken in Java ausnutzten, um die Nutzer unbemerkt beim Besuch einer Webseite zu
infizieren. Der Schädling bindet infizierte Macs unter anderem in ein Botnetz ein. Im April wurde
berichtet, dass mehr als 600.000 Mac-Rechner - vorwiegend mit der Betriebssystemversion Snow
Leopard - infiziert seien. Apple war zum ersten Mal veranlasst ein spezielles Tool zur Entfernung des
Schädlings zu veröffentlichen. Malware ist damit definitiv in der Mac-Welt angekommen.
Die Zeit des Ausprobierens ist vorbei
Das sind keine Proof-of-Concept Schädlinge mehr! Der Untergrund steht in den Startlöchern. In der
Anzahl der ungepatchten Sicherheitslücken und der Möglichkeit, sie auch auszunutzen, stehen
Apple Rechner ihren Windows Pendants in nichts nach.
Ein weiteres Indiz für die Veränderung in der Schadcodewelt für Mac-Rechner ist die Tatsache, dass
Apple die Slogans „It doesn’t get PC viruses“ und „Safeguard your data. By doing nothing“ von der
firmeneigenen Webseite entfernt hat und mit „It’s built to be safe“, bzw. „Safety. Built rigth in
ersetzte.“ 11
Wir erwarten, dass in den nächsten Monaten mehr finanziell motivierte Schädlinge auf Mac OS X
portiert werden. Den Anfang werden Bereiche machen, in denen Windows und Mac OS
gemeinsame Schnittmengen haben: Social Engineering, und per Webseite oder Browser
aktivierbare Exploits.
11
http://www.huffingtonpost.co.uk/2012/06/25/apple-removes-claims-of-viruses_n_1624309.html
Copyright © 2012 G Data Software AG
8
G Data MalwareReport 1/2012
Gefahren-Monitor
Auch im ersten Halbjahr des Jahres 2012 konnte ein erneuter Anstieg der Anzahl der abgewehrten
Angriffe gegen G Data Computernutzer mit aktivierter MII 12 verzeichnet werden.
Rang
Name
Prozent
1
Trojan.Wimad.Gen.1
3,82%
2
Win32:DNSChanger-VJ [Trj]
1,33%
3
Exploit.CplLnk.Gen
0,76%
4
Worm.Autorun.VHG
0,67%
5
Trojan.Sirefef.BP
0,67%
6
Trojan.Sirefef.FZ
0,54%
7
Trojan.AutorunINF.Gen
0,54%
8
Win64:Sirefef-A [Trj]
0,36%
9
Trojan.Sirefef.BR
0,29%
10
Gen:Variant.Application.InstallCore.4
0,29%
Tabelle 3: MII Statistiken des ersten Halbjahres 2012
Zunächst einmal fällt das Augenmerk auf Trojan.Wimad.Gen.1, Platz 1 in den G Data MII Top 10
des ersten Halbjahres 2012. Mit fast 4% steht er an der Spitze der Rangliste und zeigt sich so für fast
jede 26. Detektion bei den G Data Kunden verantwortlich. Der Schädling, der Benutzer auffordert,
angebliche nötige Codecs oder Abspielprogramme für digitale Mediendateien herunterzuladen und
zu installieren, ist seit langer Zeit fester Bestandteil der Statistiken.
Auch die Autorun-Schädlinge auf Rang 4 und 7 sowie der Exploit Exploit.CplLnk.Gen auf Rang 3
sind keine Unbekannten in der Statistik der abgewehrten Angriffe und wurden schon im
vorangegangenen MalwareReport thematisiert.
Der dominanteste Neueinsteiger in dieser Rangliste sind die Trojanischen Pferde der Familie Sirefef
mit ihren verschiedenen Komponenten. Gleich vier der zehn Ränge werden von ihr okkupiert.
Diese Familie ist extrem vielfältig und kann durch ihre modulare Struktur die unterschiedlichsten
Attacken ausführen. Rootkit-Funktionen versuchen den Schadcode auf dem befallenen PC zu
verstecken, welcher in den vorliegenden Fällen primär Systemdateien auf dem befallenen PC
verändert und Suchmaschinenergebnisse in Webbrowsern manipuliert. Die Intention dahinter: Der
betroffene Benutzer soll durch den Klick auf die manipulierten Ergebnisse Geld in die Kassen der
Angreifer spülen (pay per click Werbung).
Verbreitet wird Sirefef einerseits durch Web-Attacken mit Exploit Kits (z.B. Blackhole oder
Crimepack), aber auch durch E-Mails mit infizierten Dateianhängen. Die Detektionen der
Schädlinge der Sirefef-Familie nehmen weiterhin zu und nach den Beobachtungen der G Data
SecurityLabs bringt Sirefef sehr häufig eine Variante eines DNSChanger Schädlings als Payload mit
sich. In der aktuellen Sachlage ist besonders Win32:DNSChanger-VJ [Trj] zu nennen, der in den
Top 10 Platz 2 belegt. Generell kann der Payload, also die böse Fracht, einer Sirefef Dropper-
12
Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G Data Sicherheitslösungen kann
daran teilnehmen. Vorrausetzung hierfür: Er muss diese Funktion in seiner G Data Sicherheitslösung aktiviert haben. Wird ein Angriff eines
Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G Data SecurityLabs übermittelt. Die Informationen
über die Schädlinge werden in den G Data SecurityLabs gesammelt und statistisch ausgewertet.
Copyright © 2012 G Data Software AG
9
G Data MalwareReport 1/2012
Komponente jedoch Schadcode jeglicher Art sein und wird rein durch die Vorlieben des MalwareAutors bestimmt.
Es ist auffällig, dass die Anzahl der Adware-Schädlinge stark zurückgegangen ist. Im ersten Halbjahr
sehen wir lediglich Gen:Variant.Application.InstallCore.4 als einen Vertreter der potentiell
unerwünschten Programme (kurz: PUP) unter den Top 10. Schwankte der Anteil der eindeutig
identifizierbaren Attacken durch Adware-Schädlinge im zweiten Halbjahr 2011 noch, so zeigt sich in
den letzten sechs Monaten ein deutlicher Abwärtstrend der PUP Angriffe, zumal auf einem
niedrigeren Niveau, wobei der Anteil der Adware Schädlinge unverändert hoch bleibt. 13
Abbildung 5: Anteil der detektierten potentiell unerwünschten Programme (PUP) der
Malware Information Initiative mit Anzeige des Adware-Anteils
13
Siehe Abbildung 3
Copyright © 2012 G Data Software AG
10
G Data MalwareReport 1/2012
Webseiten-Analysen
Kategorisierung nach Themen
Die Einordnung von entdeckten bösartigen Webseiten 14 aus dem ersten Halbjahr 2012 in
Themenfelder zeigt lediglich kleinere Veränderungen gegenüber dem vorherigen Halbjahr. Bei der
Zählung wird nicht zwischen speziell eingerichteten Domains oder einer legitimen Seite, die
missbraucht wurde, unterschieden.
Erneut zeigen sich die ersten fünf Ränge
für mehr als die Hälfte der klassifizierten
Domains verantwortlich und die
gesamten Top 10 addieren sich zu 70,7%,
womit also die dominanten
Themengebiete der bösartigen Webseite
weitestgehend erfasst sind, auch wenn es
im Vergleich zu H2 2011 2,4% weniger
Abdeckung sind.
Neu in der Rangliste sind die
Klassifizierungen Bildung auf Rang 8 und
Musik auf Rang 10.
Verdrängt wurden zu ihren Gunsten die
Themenbereiche Datei-Tauschbörsen
(zuvor Rang 5) und Gesundheit (zuvor
Rang 7). Der Abfall der bösartigen
Webseiten zum Thema DateiTauschbörsen könnte im Zusammenhang
mit juristischen Schritten gegen
Tauschbörsen sein, wie z.B. The Pirate Bay
oder auch gegen Filesharing Webseiten.
Der Neueinsteiger Musik präsentiert sich
in Verbindung mit dem Thema
Unterhaltung passend zum Anstieg der
in Tabelle 2 beschriebenen Werte des
Schädlings Trojan.Wimad.Gen.1. Da, wie oben erwähnt, das Tauschen von Dateien in P2PNetzwerken immer mehr in den Fokus von behördlichen Ermittlungen rückt, weichen die User auf
andere Methoden aus, um an die gewünschten Dateien zu gelangen. Dazu zählt auch der direkte
Download der Dateien von Webseiten, ohne spezielle Software. Hier bieten sich dann die
altbekannten Szenarien: Die Webseite ist möglicherweise infiziert und attackiert den Besucher oder
auf der Webseite sind manipulierte Dateien zu finden, die den Schadcode nach dem Starten auf dem
Rechner installieren. Außerdem könnte die Webseite auch in eine Phishing-Falle sein, die vor dem
Download nach Benutzerdaten jeglicher Art fragt.
14
Als bösartige Webseiten werden in diesem Zusammenhang sowohl Phishing-Seiten als auch Malware-Seiten gezählt
Copyright © 2012 G Data Software AG
11
G Data MalwareReport 1/2012
Der Aufstieg von Webseiten mit der Klassifizierung Spiele (von Rang 10 auf 6) ist vor allem durch
einen Anstieg von bösartigen Seiten in Bezug auf den Spieleklassiker Starcraft zu erklären. Seiten zu
diesem Thema waren dominant in diesem Bereich. Auch die Kategorie Blog ist in der Rangfolge
gestiegen (von Rang 8 auf 4) und erinnert erneut daran, dass Massenangriffe auf Blog Systeme eine
der beliebtesten Angriffsmethoden darstellen. Egal ob die Angreifer dabei eine bestehende
Sicherheitslücke im System ausnutzen oder das Zugangspasswort knacken, bzw. stehlen – sobald sie
Zugang haben, sind der Blog und seine Besucher den Angriffen ausgesetzt.
Fazit
Die Untersuchung der betroffenen Themenbereiche zeigt eindeutig, dass die Gefahr infiziert zu
werden immer und überall lauert, es kann jeden treffen!
Gerade der Anstieg der Themenkategorie Blog beweist erneut, dass Cyberangreifer versuchen, mit
möglichst wenig Aufwand möglichst großen Schaden anzurichten und eine breite Masse an
potentiellen Opfern zu erreichen. Massenattacken auf Blog Management Systeme mit
Sicherheitslücken gehören zu den gängigen Methoden und sind an der Tagesordnung.
Abgesehen davon ist selbstverständlich ein populäres Thema, wie zum Beispiel die Fußball EM 15
oder die olympischen Spiele 16 in diesem Jahr, durch eine potentiell höhere Besucherzahl ein
attraktiveres Ziel. Für eine erfolgreiche Malware- oder Spamkampagne werden Angreifer sowohl
ihre eigenen Webseiten aufsetzen und spezielle Domains dafür registrieren, oder sie versuchen
existierende Systeme zu hacken, um ihre Popularität und Struktur auszunutzen.
15
http://blog.gdatasoftware.com/blog/article/homepages-of-several-famous-european-football-clubs-hacked.html
http://www.gdata.de/pressecenter/artikel/article/2831-olympia-2012-sportfans-im-vis.html
Copyright © 2012 G Data Software AG
16
12
G Data MalwareReport 1/2012
Kategorisierung nach Server-Standort
Als Ergänzung zu der Betrachtung der involvierten Themengebiete ist es außerdem interessant,
einen Blick auf die lokale Verteilung der bösartigen Webseiten zu werfen. Die globale Weltkarte in
Abbildung 6 zeigt an, wie hoch die Zahl der gehosteten, bösartigen Webseiten in einem Land ist.
Weniger beliebte
Server-Standorte
Beliebte
Server-Standorte
Abbildung 6: Flächenkartogramm mit Informationen zur Häufigkeit der gehosteten, bösartigen Webseiten in
den Ländern
Im Gegensatz zum zweiten Halbjahr 2011 haben sich die Verhältnisse etwas verschoben. Frankreich
hat seinen europäischen Spitzenplatz abgegeben und wurde von Deutschland abgelöst. Die Anzahl
bösartiger Webseiten in der Türkei ist stark gesunken, im Gegensatz zur vorherigen Untersuchung.
Generell haben europäische Länder in ihrer Bedeutung für das Hosting von bösartigen Webseiten
keine große Veränderung durchschritten – lediglich die Zahlen des Vereinigten Königreiches,
Schwedens und der Niederlande haben moderat zugenommen.
In Übersee zeigt sich ebenfalls ein vertrautes Bild: Die USA gelten weiterhin als das Land mit den
meisten bösartigen gehosteten Webseiten und die Zahlen im asiatischen Bereich sind für China und
Thailand gestiegen, in Indien allerdings gefallen.
Copyright © 2012 G Data Software AG
13
G Data MalwareReport 1/2012
Online-Banking
Das erste Halbjahr des Jahres 2012 stand im Zeichen der juristischen Verfolgung einiger der
wichtigsten Köpfe hinter Banking-Trojanern. Der Autor des Trojaners SpyEye hatte im Untergrund
verkündet, intensiv an der Version 2 seiner Malware zu arbeiten, und deshalb vorerst nicht
erreichbar sei. Kurz danach wurde jedoch bekannt, dass einen Klage gegen ihn vorliegt, was wohl
der tatsächliche Grund für die Abwesenheit sein dürfte. Neben dem Autor von SpyEye geriet zudem
der Autor von ZeuS ins Visier der Ermittler. 17
Q1 2012
Sinowal
SpyEye
ZeuS
Bankpatch
Carberp
Andere
49,9%
18,2%
16,2%
12,5%
1,9%
1,3%
Q2 2012
Bankpatch
Sinowal
ZeuS
SpyEye
Andere
34,1%
30,9%
20,4%
13,1%
1,4%
Tabelle 4: Anteil der durch
BankGuard detektierten
Banking-Trojaner Familien in
Q1 und Q2 2012
Abbildung 7: Anteil der durch BankGuard detektierten Banking-Trojaner
Familen in H1 2012
Während die Verbreitung von SpyEye im zweiten Quartal 2012 dadurch leicht zurückging, war dies
bei ZeuS nicht zu spüren. Im Gegenteil: Die Infektionszahlen von ZeuS stiegen rapide an. Das liegt
daran, dass der Autor von ZeuS nach der Veröffentlichung des Quellcodes praktisch keine Rolle
mehr spielt und die Malware-Autoren basierend auf dem Quellcode nun ihre eigenen Versionen
erstellen. An die Stelle von ZeuS selbst sind somit Klone des Trojaners getreten.
Die in 2011 erschienenen Klone, wie IceIX und LICAT, waren zwar zahlenmäßig massiv, jedoch noch
nicht besonders innovativ. Dies war bei den 2012 erschienenen Klonen anders: Gameover machte
damit auf sich aufmerksam, die Kommunikation über Peer-to-Peer-Netzwerke abzuwickeln, statt
über herkömmliche Strukturen mit einzelnen zentralen Servern. Da zentrale Server durch die
Möglichkeit der Abschaltung durch Ermittlungsbehörden bzw. Provider einen wunden Punkt
(„single point of failure“) in der Infrastruktur von Botnetzen darstellen, konnte durch die Neuerung
eine erhebliche Stabilisierung des Botnetzes erreicht werden. Zudem machte Citadel von sich
reden. Die Programmierer bieten Käufern an, Support-Verträge abzuschließen und Feature17
http://krebsonsecurity.com/2012/03/microsoft-takes-down-dozens-of-zeus-spyeye-botnets/
Copyright © 2012 G Data Software AG
14
G Data MalwareReport 1/2012
Wünsche abzugeben – Merkmale, wie sie sonst eher bei kommerzieller Software oder großen OpenSource-Projekten zu finden sind.
Nicht nur die Macher hinter ZeuS und dessen selbsternannten Nachfolger SpyEye hatten mit
juristischen Problemen zu kämpfen. Es konnten außerdem einige Köpfe hinter dem Trojaner
Carberp festgenommen werden. Ende 2011 konnte Carberp noch durch den Einbau eines Bootkits
rapide steigende Infektionszahlen vorweisen. Nach den Festnahmen im März 18 und Juni 2012 19
rutschte der Trojaner aber wieder in die Bedeutungslosigkeit ab.
Auf gewohnt hohem Niveau zeigten sich die Infektionszahlen von Sinowal. Im zweiten Quartal
konnte sich allerdings erstmals Bankpatch an die Spitze der Banking-Trojaner setzen. Dies wurde
ermöglicht durch eine ungewöhnliche hohe Aktivität bei der Implementierung neuer Mechanismen
zum Ausschalten von Antiviren-Produkten.
Die weiteren Trojaner, wie Bebloh, Ramnit, Silentbanker und Gozi, blieben weitestgehend
bedeutungslos.
Bemerkenswert im ersten Halbjahr 2012 war außerdem die Professionalisierung der
Angriffsschemen an sich. So wurde z.B. eine neue SpyEye Variante identifiziert, die die PC-Kamera
des Opfers aktiviert und den Videostream für seine Zwecke nutzt. 20
Die früheren Angriffsschemen waren meist relativ einfach. Beispielsweise wurde vom Opfer beim
Login in das Online-Banking verlangt, eine große Anzahl von TAN-Nummern einzugeben, die dann
an den Angreifer weitergeleitet wurden. Auch wenn die Eingabemaske im Layout der OnlineBanking-Webseite dargestellt wurde, sind aufgrund von Warnungen der Banken offenbar immer
weniger Kunden auf diesen klassischen Social Engineering-Angriff hereingefallen.
Frühere Angriffsschemen endeten außerdem mit dem Geldtransfer des Kunden zum Angreifer. Es
wurden keine Versuche unternommen, den Diebstahl zu verschleiern. Aufmerksame Kunden
konnten also unmittelbar feststellen, dass Geld von ihrem Konto fehlte. Da Banken verdächtige
Transfers zunehmend intern eine Zeit lang zurückhalten, konnten Kunden durch eine schnelle
Benachrichtigung an die Bank den tatsächlichen Transfer noch stoppen.
Neuere Methoden gehen dabei ausgeklügelter vor: Bei sogenannten Automatic Transfer System
(ATS) Schemen 21, läuft der gesamte Diebstahl ohne Interaktion des Kunden ab. Außerdem werden
der Kontosaldo sowie die Transaktionsliste so manipuliert, dass der Diebstahl für das Opfer völlig
unbemerkt abläuft.
Die G Data BankGuard-Technologie verhindert auch diese Angriffe zuverlässig, da bereits das
Einfügen des zu Grunde liegenden Codes – die sogenannte Man-in-the-Browser-Attacke –
verhindert wird. Im ersten Halbjahr 2012 wurde kein Banking-Trojaner bekannt, der eine andere
Angriffsform wählt und nicht von G Data BankGuard erkannt wird!
Für die zweite Jahreshälfte 2012 bleibt festzuhalten, dass gewiss andere Personen aus den
Untergrundkreisen versuchen werden, die Rollen der Autoren von ZeuS und SpyEye zu
übernehmen. Es würde allerdings nicht verwundern, wenn sie sich etwas mehr im Hintergrund
halten, um juristische Verfolgung zu erschweren. Zudem ist mit einer weiteren Professionalisierung
der Angriffsschemen zu rechnen.
18
http://group-ib.com/?view=article&id=664
http://group-ib.com/index.php/o-kompanii/176-news/?view=article&id=633
20
http://blog.gdatasoftware.com/blog/article/spyeye-living-up-to-its-name.html
21
https://www.net-security.org/malware_news.php?id=2163
Copyright © 2012 G Data Software AG
19
15
G Data MalwareReport 1/2012
Mobile Malware
Die Attraktivität mobiler Endgeräte für Schadcode-Autoren steigt mit dem anhaltenden Wachstum
des Smartphone Marktes. Wurden im Dezember 2011 weltweit 700.000 Android OS Geräte am Tag
aktiviert, waren es im Juni 2012 bereits 900.000 Geräte am Tag. 22 Schadsoftware-Autoren sehen in
der Erschließung dieses Marktes nicht mehr nur die Möglichkeit mit wenig Aufwand schnell an das
Geld der Nutzer zu gelangen.
Der Trend bewegt sich hin zu
Malware, die den Autoren auf
nachhaltige Weise einen
Geldeingang zusichert.
Die in freier Wildbahn
befindliche Malware lässt es
Screenshot 2: Andy Rubins Tweet zu Aktivierungen von Android-Geräten
jedenfalls nicht an Vielfalt
(Quelle: http://twitter.com/ARUBIN)
mangeln. Es wimmelt vor
Trojanern, Viren, Riskware und Hintertüren, den sogenannte Backdoors,. Diese Schädlinge lassen
sich jedoch nicht mehr lediglich an schlecht aufgemachten oder fehlerhaft programmierten Apps
erkennen. Das ist unter anderem darauf zurück zu führen, dass die Autoren solcher Malware immer
versierter und sorgfältiger die schadhaften Funktionen in einer App verstecken - so hat die Mehrzahl
an mobiler Malware durchaus die angepriesene Funktionalität. Gegen diese optisch und technisch
ausgefeilten Methoden, verborgene Inhalte vorzuenthalten, haben auch aufmerksame Benutzer
kaum eine Chance. Größtmöglichen Schutz bietet hier die Kombination aus Downloads aus
vertrauenswürdigen Quellen und einer umfassenden Schutzsoftware für das Auffinden von
unsichtbaren Gefahren.
Die Ansprüche, die Schadsoftware-Autoren an die Malware stellen, steigen. Im Jahr 2011
beschränkte sich ein Hauptteil der kursierenden Malware für mobile Endgeräte noch auf das
schnelle Geld in Form von Premium-SMS und Premium-Anrufen, die meistens erst auf einer
monatlichen Rechnung sichtbar wurden. Die Schadsoftware verbarg sich dazu in vertrauenswürdigen und bekannten Anwendungen und war überwiegend auf Webseiten oder in
Drittanbietermärkten zu finden.
Ebenso beliebt unter den Schadsoftware-Autoren war das Ausspionieren der Nutzer und Geräte.
Angefangen von Werbebannern in Apps, die auf fragwürdige Webseiten weiter leiteten, auf denen
der Nutzer dann gebeten wurde seine persönlichen Daten einzugeben, um ein Spiel kostenlos
nutzen zu können, hin zu Benachrichtigungen, sog. Notifications, die unabhängig von der
ursprünglich installierten App den Nutzer dazu animieren wollten, andere Apps zu installieren oder
Freunden per SMS oder Email weiter zu empfehlen.
In 2012 zeigten sich auch komplett nachprogrammierte oder sogar neue originale Apps, die den
angepriesenen Funktionsumfang vollkommen abdeckten und zusätzlich die verborgenen
Schadfunktionen beinhalteten. Das führte dazu, dass selbst im offiziellen Google Play Store
Malware für mehrere Tage oder sogar Wochen verweilen konnte, bevor sie entdeckt wurde. Selbst
für den versierteren Benutzer ist nicht auf Anhieb zu erkennen, dass sich hinter einer beliebten und
vielfach heruntergeladenen App ein Schädling verbirgt.
22
Siehe Screenshot 2
Copyright © 2012 G Data Software AG
16
G Data MalwareReport 1/2012
So bewahrheitet sich der im letzten MalwareReport prognostizierte, düstere Ausblick, der auf das
Jahr 2012 gegeben wurde. Zudem nimmt nicht nur die Menge an Schadsoftware zu 23, sondern wohl
auch die Anzahl an Schadsoftwareautoren. Doch auch im Bereich Mobile gibt es rechtliche Schritte
gegen Schadcode-Autoren zu vermelden, wie z.B. die Anklage gegen zwei Männer in Frankreich, die
mit Android-Schadcode bis zu 100.000€ verdient haben sollen. 24
Screenshot 4: Der Trojaner
MMarketpay verbirgt sich in der voll
funktionstüchtigen Wetter App GO
Weather
Screenshot 3: Der Trojaner FakeDoc
tarnt sich in einer Batterie Booster
App
Im ersten Halbjahr 2012 infizierte der Trojaner FakeDoc, auch bekannt als Battery Doctor, mit Hilfe
eines sehr erfolgreichen Konzeptes eine Vielzahl an Android Geräten. Vordergründig eine App, die
dazu dienen soll, die Batterienutzung des Mobilgerätes zu optimieren, besitzt der Trojaner
außerdem weitreichende und ausgeklügelte Schadfunktionen. Der Nutzer bekommt von den
Vorgängen nur bedingt etwas mit.
FakeDoc spioniert nicht nur das infizierte Gerät und den Benutzer aus. Er versendet zusätzlich
gesammelte Daten an einen entfernten Server und zeigt zudem noch unerwünschte Werbebenachrichtigungen an, selbst wenn die eigentliche App wieder deinstalliert ist. Zu den
gesammelten Daten gehören Google Account Informationen, die Version des Betriebssystems und
des Browsers, die GPS Position des Gerätes, die Telefonnummer, sowie die IMEI des Gerätes, die
dieses eindeutig identifizierbar macht. Das Besondere an den Funktionalitäten des Trojaners ist
jedoch der sogenannte Push Service, der, als eigenes Modul installiert, kleine Benachrichtigungen
einblendet. Dieser Service wird hier genutzt, um Werbebanner anzuzeigen, bei denen die Angreifer
pro Klick verdienen – eine Masche, wie sie auch schon bei PC Schadprogrammen weit etabliert ist.
Wie erwähnt: Selbst wenn der Nutzer einen Zusammenhang zwischen den Einblendungen und der
Battery Doctor App herleiten sollte und diese entfernt, bleiben die Benachrichtigungen erhalten und
lassen so die Kassen der Angreifer weiter klingeln.
23
Siehe Kapitel „Android-Schadcode: Wann kommt die Flut?“, Seite 6
http://www.linformaticien.com/actualites/id/23741/2000-utilisateurs-d-android-escroques-en-seine-saint-denis.aspx
Copyright © 2012 G Data Software AG
24
17
G Data MalwareReport 1/2012
Ebenfalls quantitativ auffällig wurden im vergangenen Halbjahr folgende Schädlinge:
Die Hintertür Android.Backdoor.Plankton.A, kurz Plankton. Mit der Backdoor infizierte Telefone
versenden z.B. den Browser-Verlauf und die Lesezeichen, sowie u.a. die IMEI und IMSI an ein vom
Angreifer definiertes Ziel. Das Gerät eines Benutzers kann so eindeutig identifizierbar gemacht
werden. Android.Trojan.BaseBridge.A, kurz BaseBridge, oder auch der immer noch sehr weit
verbreitete Android.Trojan.Geimini.E, kurz Geimini, der in den ersten Varianten bereits 2010
entdeckt wurde bleiben ebenfalls im ersten Halbjahr 2012 aktiv. Zurück zu führen ist der anhaltende
Erfolg auf die schiere Menge an befallenen Apps.
So fand sich ebenfalls der Banking-Trojaner Zeus-in-the-Mobile (ZitMo), der per SMS empfangene
mTans an einen Server weiter leitet, nach wie vor in freier Wildbahn. Besonders beliebte Apps
blieben auch in 2012 weiterhin das Ziel von Malware-Autoren. Dabei muss es nicht immer an einer
befallenen App liegen, dass Angreifer die Möglichkeit bekommen, an Daten und Informationen über
Nutzer zu gelangen:
Im Fall des populären Kurznachrichten-Dienstes
WhatsApp, der sich mittlerweile auf Smartphones als
SMS Ersatz etabliert hat, konnte ein Angreifer alle
versendeten Daten, Bilder, Nachrichten und GPSPositionen abfangen, ohne die App selbst verändert zu
haben. 25 Dies war aufgrund fehlerhafter
Programmierung der WhatsApp Applikation möglich:
Über WLAN wurden alle Daten unverschlüsselt
verschickt und waren sind somit abhörbar (Ausnahme:
Blackberry). Ein von einem Softwareentwickler
veröffentlichter sog. Sniffer macht es selbst
unerfahreneren Angreifern besonders einfach diesen
Umstand auszunutzen.
Apps, die derartige Sicherheitslücken ausnutzen und
trojanisierte Apps, egal ob neu entwickelt oder als
manipulierte Kopie von erfolgreichen, gutartigen
Screenshot 5: Eine Konversation kann mit Hilfe
Anwendungen, werden auch weiterhin stetig
des WhatsApp Sniffers einfach mitgelesen
nachwachsen,
da hier das Verhältnis zwischen
werden. Inklusive mitgeschickter Bilder.
Arbeitsaufwand und Profit immer noch sehr attraktiv
ist. Die zeitnahe Erkennung durch Sicherheitslösungen, gepaart mit dem immer weiter verbreiteten
Bewusstsein der Smartphone- und Tablet-Besitzer neben dem PC auch ihr Mobilgerät zu schützen,
stehen dem entgegen.
Trotz des Anfang 2012 vorgestellten Google Bouncer, der sowohl Android Entwickler Accounts als
auch bereits veröffentlichte, sowie neu eingestellte Apps im offiziellen Market Google Play scannt,
fand sich auch im ersten Halbjahr 2012 nach wie vor Malware in Google Play. Der Google Bouncer
(deutsch: Türsteher) ist ein Schutzmechanismus, der verhindern soll, dass gefährliche Apps im
Angebot von Google überhaupt erst veröffentlicht werden können. Im Juni 2012 demonstrierten
jedoch zwei Forscher in den USA, dass sich der Bouncer durchaus austricksen lässt 26 und stellten die
Wirksamkeit dieses Schutzmechanismus damit offiziell zur Diskussion.
25
http://blog.gdatasoftware.com/blog/article/using-whatsapp-in-wifi-makes-conversations-public.html
https://blog.duosecurity.com/2012/06/dissecting-androids-bouncer/
Copyright © 2012 G Data Software AG
26
18
G Data MalwareReport 1/2012
Dass nach wie vor Malware in den Google Play Store gelangt, ist auch weiterhin auf die nicht
eindeutigen Richtlinien von Google zurück zu führen. Sogar zuvor als Malware deklarierte und aus
Google Play entfernte Apps werden nach geringen Modifikationen wieder zugelassen. Der
verwendete Trick der Schadsoftware Autoren besteht darin, zunächst genutzte, kostenpflichtige
Dienste der App tatsächlich bei den Berechtigungen vor der Installation abzufragen. Diese erste
Hürde, die wenige, aufmerksame Benutzer aufmerken lässt, ist dennoch sehr niedrig. Ein Großteil
der Nutzer übergeht diese meist, in der falschen Sicherheit, sich im offiziellen Google Market zu
bewegen. Dass hier kostenpflichtige Dienste und Bezahlsysteme durchaus üblich sind, ist den
meisten Nutzern nicht bewusst. Zumal hinter einer sehr simplen App gar nicht erst Kosten vermutet
werden.
Screenshot 6: Apps von Typ3-Studio, die durch geringe Modifikationen wieder in den Google
Market gelangten.
Darüber hinaus wird solch ausgeklügelten Apps meist eine eher fragwürdige EULA hinzugefügt,
welcher der Benutzer mit Nutzung der App automatisch zustimmt. Weitere Anpassungen sind zum
Beispiel die geforderte Verschlüsselung von übertragenen Daten. Die vermeintliche Sicherheit, die
Google Play, als offizieller Market, bietet, ist ein Grund dafür, warum G Data für die Detektionen die
Kategorie Riskware (deutsch: riskante Software) eingeführt hat. Diese Kategorie soll das
Bewusstsein dafür schärfen, dass manche Apps zwar keine Malware im strengeren Sinne sind und
sogar den Google Richtlinien genügen, aber trotzdem potentiell ungewollte Funktionalitäten
vorkommen können.
Ein Beispiel für sogenannte Riskware ist Android.Riskware.SndApps.B, kurz SndApps. 27 Startet der
Benutzer die App, sieht er lediglich ein Bild, das bei Berührung einen Ton abspielt. Bei der App
"Whoopee Cushion" ist es zum Beispiel ein Flatulenzgeräusch. Der Vorgänger,
Android.Trojan.SndApps.A, wurde im Juli 2011, kurz nach dem Erscheinen, aus dem Google
Market entfernt. Der durch eine ausführliche EULA ergänzte zweite Satz der Apps des Publishers
Typ3-Studios findet sich seit August 2011 und nach wie vor im offiziellen Google Play Store.
Ergänzend werden die von der App verschickten Daten, wie in den Google Richtlinien gefordert,
verschlüsselt. Riskant für den Nutzer ist, dass die EULA der App nur über einen Umweg aufspürbar
27
http://blog.gdatasoftware.com/blog/article/malware-or-not-malware-thats-the-question.html
Copyright © 2012 G Data Software AG
19
G Data MalwareReport 1/2012
ist. Drückt der Benutzer an seinem Gerät den Menü Button, wird ihm in der App ein Feld zum
Anzeigen der EULA angeboten. Besitzt das Smartphone jedoch keinen Menü Button, bzw. ist dieser
ausgeblendet, wird der Nutzer nicht zu der EULA gelangen.
Im zweiten Halbjahr 2012 werden sich die Fälle von automatisierten Downloads von APK Dateien
(Installationsdateien für Android) auf Android OS-Geräte häufen. Dabei surft der Nutzer selbst, oder
durch eine App veranlasst, mit dem Browser seines Mobil-Geräts eine Webseite an. Dort wird ein
vom Nutzer unbeabsichtigter, automatischer Download einer App auf das Gerät initiiert. Eine
weitere Möglichkeit ist, dem Benutzer in einer App eine andere App anzubieten, die beim Klick auf
das Icon direkt einen Download startet, anstatt den Nutzer auf Google Play zum Download
umzuleiten. Dies ist für Schadsoftwareautoren ein einfacher und zuverlässiger Weg Malware zu
verbreiten, da dem Benutzer die Entscheidung, eine App herunter zu laden, abgenommen wird. Die
Malware gelangt also garantiert auf das Gerät und muss lediglich noch die Hürde nehmen, dass der
Benutzer die Installation manuell einleitet, oder bestätigt. Benutzer von Android OS Smartphones
sollten sich daher nach wie vor nur auf vertrauenswürdige Quellen für den App-Download
beschränken und sollten sich zudem immer auch die Beschreibung der App, die Berechtigungen
und letztlich auch die vorhandenen Bewertungen
ansehen, bevor sie sich dazu entscheiden eine App
zu installieren. Würde dann Schadsoftware
versuchen zum Beispiel eine App von einem Server
in China herunter zu laden, wäre dies mit den
allgemein empfohlenen Sicherheitseinstellungen 28 Screenshot 7: Sicherheitseinstellung im Androidnicht möglich.
Gerät; Nutzer sollten unbekannte Quellen meiden
Das starke, anhaltende Wachstum neu registrierter Android Geräte und die wachsende Bereitschaft
zur Nutzung neuer Medien und Funktionalitäten wird auch weiterhin für eine steigende Anzahl
mobiler Malware sorgen.
Der Trend wird sich aber zunehmend dahin bewegen, dass Bösewichte ausgeklügeltere Malware
entwickeln. Die Möglichkeiten sind auch hier noch lange nicht ausgeschöpft, so dass sich auch an
die Schadsoftware Autoren immer neue Anforderungen stellen.
Der Bereich NFC Bezahlung (z.B. Google Wallet) ist für den europäischen Markt weiterhin eher eine
Zukunftsaussicht. Die Geräte, die NFC von sich aus benutzen können, sind noch nicht
flächendeckend verfügbar und so werden Angriffsszenarien zunächst wohl eher im
wissenschaftlichen Bereich erstellt und später „in the wild“ zu finden sein, wenn sich das System im
Alltag durchgesetzt hat. Das Marktforschungsunternehmen Gartner prognostiziert für 2012 einen
Anstieg bei den mobilen Bezahlsystemen um 51,7 Millionen Nutzern auf 212,2 Millionen Nutzer,
wobei der Bereich NFC auch in ihren Schätzungen bisher eine untergeordnete Rolle spielt und sie
die Zunahme von NFC Bezahlungen auf 2015/2016 datieren. 29
Bedrohungsszenarien dieser Art werden auch zukünftig für Unruhe sorgen. Der Bedarf nach Schutz
vor potentiellen Risiken wird entsprechend steigen. Man darf jedoch nicht vergessen, dass
Schutzmechanismen nur wirksam sein können, wenn sie auch befolgt und genutzt werden.
Angreifer werden demnach auch im zweiten Halbjahr 2012 erfolgreich sein, solange es
unvorsichtige Nutzer gibt, die es ihnen leicht machen.
28
Siehe Screenshot 7
http://www.gartner.com/it/page.jsp?id=2028315
Copyright © 2012 G Data Software AG
29
20