Obad.a analysiert: Ist Android-Malware nun so gefährlich wie unter Windows?

Obad.a ist ein neuer Malware-Strang für Android. Inwieweit man diese Bedrohung mit Windows-Malware vergleichen kann, erörtern wir in diesem Beitrag.

In den vergangenen Jahren haben sich Malware-Toolkits für Windows-Plattformen mit rasender Geschwindigkeit entwickelt. Malware-Schreiber spendieren Ihren Toolkits ständig neue Funktionen und verbessern die Automatisierung. Mit diesen ausgeklügelten Toolkits müssen sich Sicherheits-Teams in Firmen auseinandersetzen. Zumindest konnte man sich bisher sicher sein, dass Windows als primäres Portal für das Erreichen der digitalen Güter benutzt wurde. Deswegen konzentrierte man sich auf das Absichern dieser Einstiegsstelle. Auch wenn der Einsatz mobiler Geräte förmlich explodierte und als Endpunkt in Unternehmen immer mehr gesehen wird, war der Schlüssel zum Topf voll Gold bisher Windows. Malware-Schreiber haben sich deswegen hauptsächlich auf die Microsoft-Plattform konzentriert. Obad.a ist ein neu entdeckter Strang an Android-Malware, der die Sichtweise radikal ändern könnte.

In diesem Beitrag erörtern wir, was Obad.a überhaupt erwähnenswert macht, wie sich die Malware mit Windows-Schadcode vergleichen lässt und was Unternehmen gegen solche fortgeschrittenen Eindringlinge in der Hand haben.

Obad.a auf dem Seziertisch

Die Sicherheits-Experten von Kaspersky Lab haben als erstes Details über Obad.a veröffentlich und mit Windows-basierter Malware verglichen. Bis zu diesem Zeitpunkt hat man angenommen, dass Windows-Schadcode wesentlich ausgeklügelter als seine Verwandten auf mobilen Plattformen ist. Mit einem Blick auf die Enthüllungen von Kaspersky sind die gezogenen Vergleiche allerdings alles andere als eine Übertreibung. Obad.a bringt die meisten Funktionen mit sich, die auch in moderner Windows-Malware zu finden ist:

  • Sie schickt SMS-Nachrichten zu kostenpflichtigen Nummern (ähnlich zu Spam)
  • Sie lädt andere Malware herunter
  • Sie führt Befehle auf infizierten Geräten aus
  • Sie greift andere Geräte via Bluetooth an

In einem Update von Kaspersky ist zu lesen, dass sich Obad.a sogar über speziell manipulierte SMS-Nachrichten verbreitet.

Bisher haben sich fast alle Malware-Autoren von existierendem Schadcode und vorhandenen Exploits inspirieren lassen. Auf diesem Wissen aufbauend haben sie ihre eigenen Produkte gezielt mit neuen Funktionen ausgestattet. Natürlich steht auch im Vordergrund, zu welchem Zweck die digitalen Schädlinge eingesetzt werden. Aus diesem Grund ist es wenig überraschend, dass sich die Malware-Schreiber für mobile Geräte Anleihen bei der sehr erfolgreichen Windows-Verwandtschaft geholt haben. Schadcode-Schreiber aller Herren Länder benutzen professionelle Software-Entwicklungs-Methoden. Die Programme sind modular und neue Funktionen lassen sich einfach hinzufügen. In vielen traditionellen Software-Projekten abstrahiert die Entwicklungs-Umgebung die Komplexität der Plattform und des Betriebssystems. Das kommt dem Programmierer bei der Software-Entwicklung für neuen Plattformen und Betriebssystemen entgegen.

Die Verbreitung von Malware auf Android-Geräten hat sich in der Sicherheits-Community in der Zwischenzeit herumgesprochen. Allerdings scheinen sich einige Sicherheits-Profis der Sachlage nicht bewusst zu sein, dass sich Malware-Schreiber für Android Anleihen bei den Windows-Pendants geholt haben. Dazu gehört auch das Hinzufügen von fortgeschrittenen Funktionalitäten. Die Erschaffer von Obad.a haben die Analyse der Binärpakete härter gestaltet, weil die Strings in der Datei verschlüsselt sind. Diese Verschleierungs-Taktik macht es schwieriger, den Programmcode in Java-Code für eine entsprechende Analyse umzuwandeln.

Die Analyse wurde zusätzlich behindert, weil die Malware zwei Zero-Day-Sicherheitslücken ausgenutzt hat. Weiterhin wurden zugehörige Dateien nicht aufgelistet und Obad.a versteckte sich auch noch. Dadurch tauchte die Malware nicht in der Liste der Programme auf, die Administrator-Rechte auf dem Gerät genießen. Der Schadcode prüft außerdem, ob das Gerät Zugriff auf das Internet hat. Ist das der Fall, lädt es die Hauptseite von Facebook herunter. Diese wird als Dechiffrierschlüssel für die Command-and-Control-Adressen (C&C) benutzt. Obad.a verfügt über eine Remote Shell, die sich zur C&C-Infrastruktur verbinden kann. Dadurch aktualisiert sich die Malware selbständig und implementiert bei Bedarf weitere Funktionalitäten. SMS-Nachrichten werden ebenfalls belauscht, um damit Befehle empfangen zu können.

Trotz all dieser Fakten birgt Obad.a derzeit für Unternehmen nur wenig Gefahr. Von Kasperksy wurde festgestellt, dass nur 0,15 Prozent der Infektions-Versuche unter Android von dieser Malware ausgehen. Auch wenn dieser neuartige Android-Schadcode und allgemeine Windows-Malware viele Gemeinsamkeiten aufweisen, ist Obad.a noch nicht ganz so weit wie seine Verwandtschaft. Es fehlen viele fortgeschrittene Funktionen, wie zum Beispiel das Auslesen von gespeicherten Passwörtern und das Abgreifen von eingegebenen Textinhalten, Passwörtern und anderen sensiblen Daten. Außerdem kann die Android-Malware keine installierten Sicherheits-Tools auf dem Gerät aushebeln, um ihr Löschen zu verhindern.

Auf fortgeschrittene Android-Software reagieren

Obad.a repräsentiert vielleicht nur einen minimalen Bruchteil des Malware-Sturms, der sich da gerade für Android zusammenbraut. Unternehmen müssen sich auf weitere ausgeklügelte Bedrohungen durch mobile Malware vorbereiten und auf der Hut sein. Leider ist das Android-Ökosystem sehr fragmentiert. Somit gibt es nur geringen oder gar keinen Schutz gegen das Ausnutzen weitreichender Android-Sicherheitslücken. Erschwerend kommt hinzu, dass man auf die Updates der Smartphone-Hersteller angewiesen ist. Das macht ein Patchen der durch Malware ausgenutzten Sicherheitslücken unter Android nicht gerade einfacher.

Zusätzlichen Schutz können Sie Android-Geräten mit dem Einsatz von Drittanbieter-Software spendieren. Wir sprechen hier natürlich von Antiviren-Software oder Security-Überwachungs-Systemen. Unternehmen und Anwender können sich natürlich bei Updates von Drittanbietern bedienen. Auch so genannte Custom ROMs mit eingespielten Sicherheits-Flicken sind eine Alternative. Allerdings könnte so ein Update immer unvorhergesehene Stabilitäts-Probleme mit sich bringen. Weiterhin verlieren Sie unter Umständen den Support oder gefährden damit die Sicherheit des Systems sogar noch mehr. Es ist im Prinzip dieselbe Problematik, die auch mit Patches von Drittanbietern unter Windows auftritt. Android-Geräte zu patchen und zu verwalten, lässt sich mit einem Management-System für mobile Geräte realisieren. Das mindert die Komplexität und gleicht möglicherweise das durch Obad.a verursachte Risiko aus.

Unternehmen sollten sich an einige Standard-Regeln halten, die unter anderem von US-CERT zur Verfügung gestellt werden. Darin finden Sie Anweisungen, wie Sie mobile Geräte absichern und gegen Bedrohungen wie Obad.a ankämpfen. Ebenso erläutert das Dokument die Wichtigkeit, Anwender bezüglich dieser Bedrohungen zu sensibilisieren. Laut Kaspersky kann Obad.a andere Geräte derzeit nur mithilfe einer Bluetooth-Verbindung infizieren. Diese Schwachstelle lässt sich einfach eliminieren. Deaktivieren Sie Bluetooth und verwenden Sie es nur in einer vertrauenswürdigen Umgebung. Das Aufklären von Anwendern ist ebenfalls essentiell. Klickt keiner auf die Links von verdächtigen SMS-Nachrichten, kann sich Obad.a schwer verbreiten. Mit solch einfachen Schritten lässt sich letztendlich einer Ausbreitung von Obad.a in einer Firmenumgebung komplett vermeiden.

Über den Autor: Nick Lewis, CISSP, ist Sicherheitsbeauftragter der Saint Louis University. Nick hat seinen Master of Science in Informationssicherung von der Norwich University im Jahre 2005 und in Telekommunikation von der Michigan State University im Jahre 2002 erhalten. Bevor er bei der Staint Louis University im Jahre 2011 anfing, arbeitete Nick an der University of Michigan und im Boston Children's Hospital. Weiterhin war er für Internet2 und die Michigan State University tätig.

Artikel wurde zuletzt im September 2013 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close