Gezielte mRAT-Angriffe auf unternehmenseigene Mobilgeräte verhindern

Handelsübliche mobile Überwachungskits sind eine wachsende Bedrohung für die Sicherheit. mRATs lassen sich zu Spionage und Datendiebstahl nutzen.

Wo Menschen sind, da sind auch Ratten, so die Redensart. Und wenn es um mobile Sicherheit geht, wird die mRAT-Plage wohl langsam zu einem Problem. Mobile Remote-Access Trojaner (mRATs) sind handelsübliche, mobile Überwachungskits, die ursprünglich auf den Markt kamen, um das Mobilverhalten von Kindern zu überwachen und zur Online-Sicherheit beizutragen. Sie können im Unternehmen jedoch auch zur Spionage und anderen kriminellen Handlungen verwendet werden.

Ein mRAT kann über ein vom Nutzer angefordertes Programm, wie zum Beispiel ein Spiel, unbemerkt heruntergeladen oder als Link in einer E-Mail- oder Textnachricht versendet werden. Es kann Geräten auch manuell hinzugefügt werden, wenn die Person, die es installiert, physischen Zugang zum Mobilgerät hat. 

Christine Schonig,
Technical Managerin,
Check Point

Da er administrative Kontrolle über das Gerät verleiht, kann es Keylogging ermöglichen, eine Videokamera sowie Aufnahmefunktionen auf Mobilgeräten aktivieren und vieles mehr.

Genau dieses leistungsstarke Funktionspaket macht mRATs für Angreifer attraktiv, denn mit ihnen sind sie in der Lage, Sicherheitskontrollen in Systemen zur mobilen Geräteverwaltung (MDM) zu umgehen und Anrufe und Meetings abzuhören, Informationen aus Unternehmens-E-Mails und Textnachrichten zu extrahieren sowie die Standorte von Schlüsselpersonen zurückzuverfolgen. 

Ebenso lässt sich die Kommunikationen in Anwendungen Dritter abfangen. Tatsächlich zielte Ende 2014 eine zur Überwachung eingesetzte mRAT, die iOS- und Android-Geräte infizierte, auf die Unterstützer der Occupy-Central-Bewegung von Hong Kong ab. Diese mRAT wurde unabsichtlich durch Links weiter verbreitet und geteilt, die per WhatsApp gesendet und empfangen wurden.

Die mRAT-Population wächst

Wie groß ist die Bedrohung durch mRATs für die Unternehmenssicherheit? In dem Bemühen, das Risiko, das sie darstellen, besser verstehen und quantifizieren zu können, haben Check Point und Lacoon eine Studie über die Kommunikationen von über 900.000 Mobilgeräten durch Wi-Fi-Zugriffspunkte in großen Unternehmen durchgeführt. 

Forscher haben über mehrere Monate nach den Datenverkehrsmustern und Signaturen mehrerer verschiedener, bekannter mRATs gesucht, während diese mit ihren Command-and-Control-Servern kommunizierten. Die Analyse ergab, dass im Durchschnitt mehr als eines von weltweit 1.000 Geräten infiziert war – jedoch lag die Rate in einigen Ländern, wie den USA, sogar bei einem von 500 Geräten. Die Infizierungen waren auch zwischen Android- und iOS-Mobilgeräten gleichmäßig verteilt – im Gegensatz zur Mehrzahl der mobilen Malware.

Diese Infizierungsrate erscheint zwar nicht hoch, doch muss man bedenken, dass die mRATs von Mobilgeräten aus in vielen Fällen wochen- oder monatelang Traffic quer durch Wi-Fi-Netzwerke von Unternehmen sendeten. Welche sensiblen Daten hätten in dieser Zeit von einem infizierten Gerät einer einzigen Führungskraft heimlich abgesaugt werden können?

Tatsächlich sind mRATs das mobile Pendant zu Spear-Phishing-Angriffen auf konventionelle Netzwerke, die Opfer auf höchster Ebene forderten, darunter Unternehmen wie Target, Neiman Marcus, Anthem und Sony Pictures. Sie dienen als Sprungbrett in Firmennetzwerke, denn sie ermöglichen Angreifern, bestimmte Organisationen und sogar Einzelpersonen innerhalb solcher Organisationen anzugreifen, um so heimlichen Zugang zu sensiblen Unternehmensdaten zu erlangen.

mRATs sind handelsübliche Überwachungskits, die zur Spionage missbraucht werden. 

Außerdem wird das Potential dieser Angriffe erst noch wachsen. 2014 zeigte die von Check Point bei 700 Unternehmen durchgeführte dritte jährliche Umfrage zu Mobilgeräten, dass sich die Anzahl der persönlichen Geräte, die mit den Netzwerken verbunden sind, in den letzten beiden Jahren in 72 Prozent der Organisationen mehr als verdoppelt hat. 44 Prozent gaben an, nicht einmal zu versuchen, Unternehmensdaten auf mitarbeitereigenen Mobilgeräten zu verwalten – womit sie Hackern ein breites und stets wachsendes Angebot an ausnutzbaren Geräten liefern.

Locken Sie mRATs in die Falle

Wie sollten Unternehmen also vorgehen, um vorhandene mRAT-Infizierungen zu erkennen, weitere Infizierungen zu stoppen und der Gefahr eines erfolgreichen Angriffs über diesen Vektor vorzubeugen?

  • Zunächst ist ein integrierter Ansatz zu mobiler Sicherheit erforderlich, mit dessen Hilfe Schutzvorkehrungen auf jedes Gerät ausgedehnt werden können, egal, wo es genutzt wird.
  • Zweitens ist eine On-Device-Problembehebung erforderlich, um alle von vorhandenen mRATs erzeugten Aktivitäten oder den entsprechenden Traffic aktiv zu blockieren.

Um Geräte außerhalb des Unternehmensperimeters vor neuen mRAT-Infizierungen zu schützen, ist es möglich, einem Gerät durch einen verschlüsselten VPN-Tunnel Schutz in Form eines Cloud-basierten Dienstes zu liefern. Dadurch werden verdächtige Datei-Downloads verhindert und der Zugriff auf bösartige Webseiten gesperrt. 

Die mRAT- Infizierungen sind zwischen Android- und iOS-Mobilgeräten gleichmäßig verteilt – im Gegensatz zur Mehrzahl der mobilen Malware.

Die Ausweitung der Sicherheitsrichtlinien des Unternehmens auf alle Geräte ist so möglich. Ebenso lässt sich die Kommunikationen aller bereits auf den Geräten vorhandenen mRATs durch das Sperren des Zugriffs auf den mRAT Command-and-Control-Server unterbrechen.

Was die On-Device-Sicherheit betrifft, sollten Organisationen Lösungen umsetzen, die jedes verdächtige Verhalten einer App, auf einem Gerät oder im Netzwerk erkennen. So kann man die Auswirkungen der mRATs ermitteln und minimieren. Ein mRAT mag in vielen Fällen mithilfe konventioneller, mobiler Antimalware nicht zu erkennen sein, doch können Speziallösungen Risikobewertungen an Geräten durchführen und für aktive Schutzfunktionen sorgen, die Bedrohungen blockieren und minimieren.

Schließlich sind mRATs leistungsstarke Tools, mit denen Hacker in der Lage sind, in mitarbeitereigene Mobilgeräte einzudringen – von denen viele größtenteils nicht verwaltet und nicht geschützt sind – und von dort Daten abzuziehen. Aus diesem Grund sollten Unternehmen nach Maßnahmen suchen, mit denen sie die mRAT-Population kontrollieren und ihre Kommunikation unterbrechen können, bevor diese sich zu einer Datendiebstahlplage entwickelt.

Über den Autor:
Christine Schönig ist seit 2009 als Technical Managerin bei Check Point tätig. Hier führt sie das technische Pre-Sales-Consultancy-Team in Deutschland. Zuvor war sie bei Nokia im Geschäftsbereich Business Mobility für den Vertrieb von Mobility- und Security-Produkten des finnischen Herstellers in Deutschland zuständig. Bei Nokia war sie unter anderem mit der Leitung des Bereichs Pre-Sales SE-Manager für Zentraleuropa beauftragt. Als Technical Operations Managerin hatte sie zudem verschiedene Führungsaufgaben in Europa, dem Mittleren Osten und Afrika inne.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Erfahren Sie mehr über Bedrohungen

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close