Keylogger für Smartphone und Tablet: Sicherheitsbedrohung für Unternehmen?

Wie unterscheiden sich mobile Keylogger für Smartphones oder Tablets von einer Windows- oder Mac-OS-X-Version? Muss man zum Schutz mobiler Keylogger in Unternehmen andere Verteidigungsmaßnahmen ergreifen?

Das Aufzeichnen der Tastaturanschläge (Keylogging) ist bei Desktop-Malware eine häufig zu findende Funktion. Vor allem bei Schadcode, der den Fokus auf Online-Banking und Finanztransaktionen legt. Ein bekanntes Beispiel hierfür ist der Banken-Trojaner Zeus. Keylogging-Malware überwacht und zeichnet also jeden Tastaturanschlag auf, der auf einem infizierten Computer verwendet wird. Im Anschluss sendet die Malware diese Informationen an einen Fremdrechner, der sich unter der Kontrolle des Angreifers befindet. Aus diesen Daten lassen sich dann Passwörter, Kreditkarten-Informationen und andere Anmelde-Daten extrahieren.

Nun werden auch in Unternehmen zunehmend mobile Endgeräte wie Smartphones und Tablets für Finanztransaktionen und Online-Banking verwendet. Das bekommen natürlich auch Cyberkriminelle mit. Aus diesem Grund fokussieren sich diese auch mehr und mehr auf Malware, die Anmelde-Informationen und andere sensible Daten klauen. Smartphones und Tablets unterscheiden sich allerdings von Desktops, da diese in der Regel keine Hardware-Tastatur verwenden. mobile Betriebssysteme wie Android, iOS und Windows Phone nutzen ein Software-Keyboard, das auf dem Bildschirm angezeigt wird. Entwickler mobiler Anwendungen können auch eine spezielle und für ihre Software oder App maßgeschneiderte Tastatur entwerfen. Somit kann ein Keylogger für mobile Geräte nicht einfach die Tastaturanschläge des Nutzers aufzeichnen. Der Cyberkriminelle muss zudem die X- und Y-Koordinaten des Bildschirms mitschneiden, die der Anwender berührt. Im Anschluss lassen sich diese Informationen mit einem Screenshot des Bildschirms entsprechend kombinieren, wodurch der Malware-Autor herausfinden kann, was der Anwender nun eigentlich eingegeben hat.

Neal Hindocha ist leitender Security-Consultant bei Trustwave und hat auf der diesjährigen RSA-Konferenz eine Machbarkeitsstudie (Proof of Concept) vorgestellt, in der er mit Screenshots und der Aufzeichnung der X- und Y-Koordinaten gearbeitet hat. Er konnte damit die Sicherheitseinstellungen der virtuellen Tastatur umgehen und sich erfolgreich am Gerät anmelden. Sein Angriff funktioniert in erster Linie mit gerooteten Android-Geräten oder iOS-Devices mit Jailbreak, auf denen sich die Befehle leichter ausführen lassen, mit denen die X- und Y-Koordinaten der berührten Bereiche abgefangen werden. FireEye hat über eine ähnliche Touchlogging-Schwachstelle in Geräten mit iOS 7 berichtet, die nicht mit Jailbreak versehen waren. Nicht gerootete Android-Geräte sind anfällig, wenn sie via USB mit einem PC verbunden werden. Der Speicher des Smartphones lässt sich so ausnutzen, um Screenshots zu speichern bzw. abzurufen. Hindocha wies auch darauf hin, dass Angreifer bereits durch Daten-Logs genügend Informationen bekommen könnten und nicht zwingend Screenshots bräuchten. In diesem Zusammenhang sei aber das Knacken von Smartphones mit Windows Phone schwieriger.

Diese Angriffsszenarien sind allerdings weit davon entfernt, Anwender gerade auch in Unternehmen auf breiter Basis zu adressieren. Verwenden Nutzer keine Jailbreak- oder gerooteten Geräte, dann ist die Gefahr relativ gering. Unternehmen mit hohen Security-Anforderungen sollten ihre Anwender allerdings für diese Anfälligkeit sensibilisieren, damit diese Art der Bedrohung auch ausreichend verstanden wird. Gezielte Angriffe könnten sich dieser Strategie bedienen, weil sich anhand der Tastaturanschläge potenziell sehr viele Informationen abgreifen lassen. Wurde zum Beispiel der Bildschirm für eine Stunde lang nicht berührt und plötzlich werden zwischen vier und acht Berührungen registriert, dann dürfte der Anwender ziemlich sicher seine PIN eingegeben haben.

Leider sind Keylogger nicht einfach zu erkennen. Ein infiziertes Gerät zeigt in der Regel keine Symptome, kompromittiert worden zu sein. FireEye rät iPhone-Anwendern daher, den iOS-Task-Manager zu verwenden, um mögliche Hintergrundaktivitäten aufzudecken. Unternehmen dagegen sollten vor allem den Netzwerk-Traffic im Auge behalten und überwachen, welche Daten das Firmennetzwerk verlassen. Infizierte Mobilgeräte könnten sich durch unübliche Muster im Datenverkehr aufspüren lassen.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!