Sophos hat es derzeit hauptsächlich mit diesen fünf Hauptarten von Android-Malware zu tun: Datenklau, SMS-Versand, Pay-per-Click/Pay-per-Install, Phishing-Apps und Rechteausweitung (so genannte Privilege Escalation Exploits). Was genau hinter diesen Attacken steckt, klären wir im Folgenden auf:
Datenklau
Was wäre, wenn die geheimen Pläne Ihres Unternehmens in die Hände fremder Personen mit bösen Absichten geräten? Was wäre, wenn dies mit Ihren privaten Nachrichten geschehen würde? Das ist gar nicht so weit hergeholt und durchaus möglich, wenn Sie per SMS kommunizieren und sich auf Ihrem Android-Gerät ein datenstehlender Trojaner eingenistet hat. Malware wie der Trojaner Andr/SMSRep-B registriert einen Broadcast Receiver, der jede an Sie geschickte SMS abfängt. Der Trojaner kodiert die Textnachrichten dann mit JSON, einem Datenformat, das von seriösen Webservices verwendet wird, und schickt diese mithilfe normaler HTTP-POST-Anfragen an einen manipulierten Webserver. Vor kurzem erst spionierte BadNews detaillierte Telefondaten von mehreren Millionen Android-Benutzern aus. Mit BadNews hat Malware eine ganz neue, erschreckende Dimension erreicht. Dieser Trojaner infizierte Geräte über Apps, die im offiziellen Google Play Store heruntergeladen wurden und nicht auf irgendeiner gefährlichen fremden Website. Hinzu kam, dass die Ausführung der schädlichen Funktionalität hinausgezögert werden konnte. BadNews war als Werbe-Framework getarnt, das sich völlig unauffällig verhielt und sich so an den Sicherheitsfiltern von Google vorbeischmuggeln konnte. Nachdem sich die App installiert hatte, wurde zeitverzögert Premium-SMS-Malware an infizierte Geräte gesendet. BadNews macht sich das Pay-per-Install (PPI)-Konzept zunutze, bei dem die eigene Infrastruktur an Affiliates vermietet wird, die ihre eigene Software installieren möchten. Es stellte sich heraus, dass eines der Affiliate-Softwarepakete, das später installiert wurde, ob absichtlich oder nicht, schädlich war. BadNews macht deutlich, wie wichtig es ist, dass Benutzer einen Schutz installieren, der schnell aktualisiert werden kann, um sichere Apps davon abzuhalten, sich auf Abwege zu begeben.
SMS-Versand
Eine der simpelsten Möglichkeiten, Geld von Android-Benutzern zu stehlen, besteht darin, deren Geräte dazu zu bringen, Nachrichten an Premium-SMS-Dienste zu senden. Nehmen wir als Beispiel Andr/AdSMS, eine Malware, die erstmals 2011 in China auftauchte und auch heute noch Benutzer plagt. Andr/AdSMS wurde in schädliche, „gecrackte“ Versionen verschiedener Apps wie iCalendar, iMine und iMatch eingeschleust. Sie schickt kostenpflichtige Nachrichten an verschiedene Nummern, die je nach App anders lauten. Benutzer abonnieren – ohne es zu wissen – diese Dienste und müssen immer wieder für unerwünschte Nachrichten zahlen. Da viele Benutzer ihre Handyrechnungen nicht genau überprüfen, kann es einige Zeit dauern, bis ihnen die Gebühren auffallen und sie die App entfernen (wenn überhaupt!) und den Nachrichtenversand stoppen.
Pay-per-Click/Pay-per-Install
Mobile Werbung ist für Angreifer die ideale Möglichkeit, Umsatz zu generieren. Datenverkehr, der von schädlichen Android-Apps an verbundene Partner-Websites geschickt wird, bietet finanzielle Anreize für die Angreifer. Angreifer werden auch von App-Distributoren bezahlt, und zwar danach, wie oft Per-Install-Apps auf infizierten Android-Geräten installiert werden. Andr/GMaster und Andr/MTK, beide aus China, stehen stellvertretend für diese Art von App. Solche Trojanerfamilien bauen mithilfe von Schadcode, der in befallenen Apps versteckt ist, ein großes mobiles Botnet auf. Die Botnet-Betreiber nutzen dieses Botnet, um mehrere Millionen Geräte zu kapern und Datenverkehr an seriöse Entwickler und Werbedienste zu generieren. Auf diese Weise erzielen die Betrüger indirekt Einkommen.
Phishing-Malware
Millionen Benutzer verwenden ihr Android-Gerät für Bankgeschäfte im Internet. Der Zugriff auf diese Online- Konten ist für Malware-Autoren zum heiligen Gral geworden. Die Angreifer haben schnell gelernt, wie man Benutzernamen und Passwörter klaut, indem Zugangsberechtigungen missbraucht und ungeschützte Daten auf Geräten abgegriffen werden. Mit der Zeit sind sie immer raffinierter geworden. Denken wir nur an ZitMo, der eine mobile Komponente des berühmt-berüchtigten Server- Schädlingsbaukastens Zeus verwendet, mit dem zunächst Windows-PCs angegriffen wurden. Wenn Android- Benutzer unwissentlich eine Website besuchen, die von Malware-Autoren, -Sponsoren oder –Partnern gekapert wurde, wird dort eine schädliche Installationsdatei für Android (APK) zum Download angeboten. Sobald sich diese App installiert hat, nutzt sie eingebaute Android-Mechanismen, um eingehende SMS abzufangen und mobile Transaktionsnummern (mTANs) für Bankingtransaktionen zu stehlen. (mTANs sind temporäre Passwörter, die Benutzer von ihrer Bank erhalten und die zusätzliche Sicherheit neben der standardmäßigen Authentifizierung mit Benutzername/Passwort bieten.) ZitMo leitet die mTANs an eine Website oder Telefonnummer weiter, die vom Angreifer kontrolliert wird. Sobald die Angreifer eine mTAN zusammen mit den üblichen Benutzerdaten zur Authentifizierung abgefangen haben, können sie im Namen der Benutzer Finanztransaktionen vornehmen.
Rechteausweitung (Privilege Escalation Exploits)
Malware-Autoren haben Wege gefunden, um sich über die Android-Plattform Rechte zu verschaffen, auf gesperrte Ressourcen zuzugreifen und unerlaubte Handlungen vorzunehmen. 2011 infizierte DroidDream, ein früher Privilege Escalation Exploit für Android, mehr als 50 Apps in Google Play und verbreitete sich innerhalb weniger Tage auf über 200.000 Geräten. Erst vor kurzem suchte der hochentwickelte Trojaner GinMaster App-Märkte in China heim, eingebettet in mehrere Tausend seriöse Spiele, Klingeltöne und andere Apps. GinMaster ist komplex: Er gehört zur ersten Android-Malware, die sich durch Polymorphismus jeglicher Erkennung entzieht und auf jedem Gerät eine andere Form annimmt. Außerdem beinhaltet er einen schädlichen Dienst, der in der Lage ist, Geräte zu rooten, sich volle Zugriffsrechte zu verschaffen, vertrauliche Daten auszuspähen und weiterzuleiten sowie ohne Zutun des Benutzers neue Apps zu installieren. Für uns ist das ein unmissverständlicher Vorbote für noch mächtigere und gefährlichere Android-Malware.
Antwort hinterlassen