Eine differenzierte Betrachtung der mobilen Bedrohungslage Mobile Malware eine neue Bedrohung?

Autor / Redakteur: Klaus Jetter, F-Secure / Peter Schmitz

Smartphones und Tablets spielen im Unternehmenseinsatz eine immer größere Rolle und gleichzeitig wachsen auch die Bedrohungen. Sicherheitsexperten beschwören mobile Malware als neue Gefahr. Noch scheint es zu früh für mobile Antivirus-Lösungen, aber nicht für den Schutz mobiler Daten.

Firmen zum Thema

Immer mehr Smartphones werden in geschäftlich genutzt und gleichzeitig nehmen mobile Bedrohungen stetig zu. Unternehmen müssen jetzt beginnen Vohrkehrungen zum Schutz der Firmendaten zu treffen.
Immer mehr Smartphones werden in geschäftlich genutzt und gleichzeitig nehmen mobile Bedrohungen stetig zu. Unternehmen müssen jetzt beginnen Vohrkehrungen zum Schutz der Firmendaten zu treffen.
(Bild: VBM)

Wird die mobile IT in Sicherheitsfragen dieselbe Entwicklung nehmen wie im Desktop-Bereich? Alles deutet darauf hin. Das ist nicht überraschend, denn auch die Entwicklung der mobilen IT bewegt sich schnurstracks darauf hin, alles zu ermöglichen, was auf stationären Systemen möglich ist. Doch wie weit ist die mobile Entwicklung vorangeschritten?

Wie weit ist das Rad der IT-Bedrohungen schon wieder neu erfunden? Der Stein ist ins Rollen gebracht, auch wenn er noch eine Wegstrecke zu absolvieren hat. Ein ignorieren der mobilen Bedrohungen kann sich aber bereits jetzt niemand mehr leisten.

Bildergalerie
Bildergalerie mit 5 Bildern

Mobile Angriffsziele

Jede Bedrohung, die sich gegen einen Desktop-PC, ein Notebook oder einen Server richtet, kann sich prinzipiell auch gegen Smartphones und Tablets richten. Offen ist lediglich, wann ein Smartphone oder ein Tablet ein lohnendes Ziel für die Cyberkriminellen wird. Android-gestützte Betriebssysteme bieten die größte Artenvielfalt mobiler Malware: Die Zahlen der F-Secure Research Labs belegen seit dem ersten Quartal 2011 einen sprunghaften und beschleunigten Anstieg.

Wurden im Zeitraum von Januar bis März 2011 noch zehn neue Android-Bedrohungsfamilien und deren Varianten entdeckt (bei sechs Symbian-basierten Varianten und einer Windows Mobile-Bedrohung) stieg die Anzahl der neue entdeckten Android-Bedrohungen auf 52 im dritten Quartal 2011 und pendelt sich seitdem bei einem durchschnittlichen Zuwachs von rund 40 Familien und Varianten ein. Die anderen Betriebssysteme stagnieren in ihrer Bedrohung auf deutlich niedrigerem Niveau.

Betrachtet man die Anzahl der aufgefundenen Malware-Samples – also auch alle Varianten von Familien – bestätigt sich dieser Eindruck. Über 51.000 verschiedene Android Malware Samples (rund 66 Prozent der mobilen Schadsoftware) wurden im dritten Quartal 2012 in den Research Labs von F-Secure registriert. Damit stieg die Anzahl um das mehr als Zehnfache im Vergleich zum zweiten Quartal 2012. Die Bedrohung für Android wächst, obwohl Google bereits zu Beginn des Jahres 2012 mit Bouncer eine neue Technologie zum Scan von Google Play Applikationen eingeführt hat.

Dieser Zuwachs ist die natürliche Konsequenz der konstant wachsenden Verbreitung von Android. Je größer die Verbreitung, umso größer ist der Markt für Schadsoftware, die Profit generieren will. Nur Apple scheint die Gesetze aufzuheben. Apple iOS verzeichnete von Juli bis September 2012 ganze zwei Neuentdeckungen. Verwundbarkeiten gibt es. Nicht umsonst lieferte das Update auf iOS 6 auch Fixes für mindestens 197 bekannte Sicherheitslücken.

Offenbar führt eine rigorose App-Controlle durch Apple auch zu erhöhter Sicherheit. Vielleicht sehen Malware-Entwickler in iPad und co ein nicht so lohnendes Ziel, weil die immer noch wichtigsten professionellen Datenbestände sich eben nicht in Apple-, sondern in Windows-Umgebungen befinden und die private Musik-, Video- und App-Sammlung doch kein vorrangiges Ziel ist.

Mobile Bedrohungsszenarien

Mobile Malware geht gezielt gegen bestimmte Datenbestände vor. Handys und Tablets können Einfallstore für den Zugriff auf Zugangsdaten zum Firmennetz werden – auch über den Umweg der Überwachung von Social-Media-Aktivitäten der Mitarbeiter.

Ausspionieren, Überwachen und Datensammeln ist die Hauptmotivation mobiler Schadsoftware. Ein wichtiges Betätigungsfeld digitaler Schädlinge ist das Monitoring. Monitoring-Tools überwachen die SMS-Nachrichten und tarnen sich zudem zuerst als Parental Control zur Überwachung der Korrespondenz der eigenen Kinder. Am Ende ist der Überwacher selbst der Überwachte.

Auch autoritäre Staaten haben diese Möglichkeiten schon erkannt. So werden auch Orwell‘sche Bedrohungen mobil, wenn etwa Schadsoftware zur Anfertigung von Screenshots, Protokollierung von Tastatureinträgen, SMS-Nachrichten und Anrufen, Lokalisierung oder auch zur Unterbindung von Skype-Telefonaten eingesetzt wird. Dies ist der Effekt des FinSpy Trojaners, der jüngst entdeckt wurde und alle wichtigen Plattformen wie Android, Symbian, iOS und Windows Mobile zugleich attackierte. Fälle sind aus Bahrein, Ägypten und Turkmenistan bekannt.

Auch das Ausspionieren von wichtigen Kenndaten, um so die Kontrolle über Handy- und Smartphone zu erlangen, ist ein wichtiges Betätigungsfeld der mobilen Malware. Informationen wie IMEI- und IMSI-Nummern, Telefonnummern, die Version des Betriebssystems oder die Seriennummer der Sim-Karte können ein sicherheitsrelevantes Puzzleteil für Cyberkriminelle sein. So wird etwa das zur Anmeldung am Server benötigte Passwort bei WhatsApp bei Android aus der IMEI-Nummer des jeweiligen Handys erzeugt. Unter iOS wird die MAC-Adresse des iPhones verwendet, welche mühelos ausgelesen werden kann.

Weniger gefährlich, dafür aber lästig ist die Verwendung solcher Informationen als Basis für SMS-Spam. Kritisch wird es beim Abgreifen von Bankdaten, wobei zum Beispiel bei Zitmo, der jüngsten Variante des Zeus-Trojaners ein Teil des Angriffs über den Windows-Desktop-PC geschieht. Auf dem PC wird die Abfrage der Telefonnummer des Bankkunden injiziert. Dann können vermeintliche Sicherheitsupdates an das Smartphone geschickt werden. In immer wieder neuen Varianten geht es auch um den Diebstahl von mTAN-Nummern, die eine Bank ihren Kunden zusendet.

Professionalisierung

Immer mehr Malware hat mittlerweile einen konkreten geschäftlichen Hintergrund. Dennoch hinkt die Infrastruktur der kriminellen Szene – etwa bei der Generierung oder dem Angebot von Toolkits – in ihrer Entwicklung der Desktop-Szene noch hinterher. Denn viel Geld lässt sich auf Kosten eines einzelnen Opfers nicht unbedingt machen. Für einen durchschnittlichen Anwender beläuft sich der finanzielle Schaden vielleicht auf relativ geringfügige Euro-Beträge seiner Verbindungsabrechnung. Dennoch gibt es schon jetzt erste Business-Modelle für mobile Malware. Symbian-basierte Malware, die vor allem in China verbreitet ist, kreiert zum Beispiel ungefragt SMS-Nachrichten an Premium-Dienste.

Malware-Entwickler können einfach eine solche Infektion in Profit umwandeln, indem sie die Billing-Menchanismen der SMS-Dienste ausnutzen. So werden im Namen des Anwenders Premium-Angebote gebucht und die Gebühren an die Urheber bezahlt. Eine andere Spielart emuliert ein Benutzerverhalten, um WAP-Dienste auf dem Gerät einzurichten. Die PlugGamer.A Malware etwa spielt sogar im Hintergrund einfache Browser-basierte Online-Spiele.

Im Zuge dieser Entwicklung wird Malware auch komplexer werden und so auch ihrerseits Abwehrmechanismen entwickeln. So schalten manche böswillige Anwendungen AV-Prozesse ab, um die Entdeckung zu vermeiden. Andere wiederum können Security-Software-Prozesse komplett abstellen und auch die Deinstallation blockieren. Immer besser tarnt sich Malware hinter scheinbar ungefährlichen Apps und die Zeiten, in denen sie plumpe Fälschungs-Templates verwendeten, sind schon lange vorbei. Gefälschte Anwendungen konnten sich auch schon in Google Play einschleusen.

Regionale Bedrohungslage

Ein Großteil der vielzitierten Malware-Beispiele wird vor allem in China und Russland beobachtet. Hier in Mitteleuropa scheint die Sicherheitslage noch etwas entspannter zu sein, zumindest für den durchschnittlichen Anwender, der nur sparsam Applikationen herunterlädt. Early Adaptor leben da schon etwas gefährlicher. In anderen Weltgegenden ist die Bedrohungslage eh schon weiter fortgeschritten – etwa in China, wo Google Play als Quelle für Android Apps nicht zugänglich ist und Kunden auf unsichere Drittanbieter angewiesen sind. Auch wenn hierzulande der Durchschnitts-User noch relativ entspannt bleiben kann und der Verlust oder der Diebstahl von Handys noch die größere Gefahr ist, wird mobile Sicherheit immer wichtiger.

Gefahr für Unternehmen

Immer mehr Apps haben einen professionellen Business-Hintergrund, immer mehr Anwender benutzen ihr privates Smartphone im Unternehmen. Und das eröffnet neue Gefahren. In den heutigen BYOD-Zeiten werden durch halbprivat genutzte Smartphones solche Bedrohungen auch für die Unternehmensnetze immer wichtiger. Wichtig, wenn auch in ihren Möglichkeiten noch in den Kinderschuhen steckend, ist zum Beispiel die Einbindung von Malware in Advanced Persistant Threats zum Zwecke der Industriespionage.

LuckyCat.A etwa hat indische und japanische Militärforschungsinstitute angegriffen. Dazu benutzt LuckyCat.A über Remote-Access-Trojaner-Fähigkeiten und nimmt in der Folge Verbindung zu Command and Control Servern auf. Diese instruieren dann die Malware, um so die Directory des Gerätes zu durchsuchen, Daten auf das Gerät aufzuladen oder von dort herunterzuladen und zudem weitere Informationen an den C&C-Server zu übermitteln. Handy, Smartphone und Co werden immer mehr zum Eingangstor in das Unternehmensnetz, vor allem wenn undisziplinierte oder naive Anwender unvorsichtig mit Zugangsdaten umgehen oder über ihre sozialen Netzwerke genug Stoff für gezieltes und wirksames Spear Phishing geben.

Mobile Geräte in das mobile Securitymanagement integrieren

Mobile Geräte müssen angesichts solcher Befunde in die IT-Sicherheit mit einbezogen werden. Mobile Risiken werden sich auf Dauer nicht mehr auf den Datenverlust durch mobile Geräte wie Notebooks oder USB-Sticks beschränken.

Mobile Sicherheitstools, die auch die Gefahr eines Handy-Missbrauchs nach Diebstahl durch Löschung von Daten, Sperrung des Mobiltelephons oder mögliche Abgabe von Alarm-Tönen minimieren, sind ein Grundbaustein der IT-Sicherheit, den alle Anwender schon jetzt aufbauen und pflegen sollen. Unternehmen müssen darüber hinaus auch mobile Geräte in das Management der Netzwerksicherheit mit einbeziehen. SaaS-Lösungen können die Sicherheit mobiler Systeme managen und bieten geeignete und relevante Lösungen.

Antivirus-Lösungen sind vielleicht noch nicht so wichtig und zurzeit steht eher der Schutz gegen Diebstahl, die Remote-Sperrung und Lokalisierung von Geräten oder auch das Löschen von Daten im Vordergrund. Aber es ist nur eine Frage der Zeit, bis sich dies ändert und spätestens dann müssen Sicherheitslösungen auch mobile Geräte verwalten.

(ID:37374050)