conejota - Fotolia

Mobile Sicherheit: Neue Bedrohungen aus ehemals sicheren Quellen

Malware kann auf fabrikneuen Smartphones schon vorinstalliert sein. Die Säuberung ist teilweise nur durch Flashen von sauberer Firmware möglich.

Untersuchungen zeigen, dass es Cyberkriminelle seit 2015 immer zielgerichteter auf mobile Endgeräte abgesehen haben. Android, Windows Phone und iOS stehen gleichermaßen im Fadenkreuz. Tarnung von Schadcode und die Umgehung von Sicherheitsmechanismen durch Dropper werden immer ausgeklügelter.

Die Entwicklung geht so weit, dass die Bedrohung bereits auf dem Gerät ist, bevor der User dies überhaupt einschaltet.

Gefahr durch vorinstallierten Schadcode

Forscher fanden auf 38 Smartphones von führenden Anbietern Schadsoftware, die schon vor dem ersten Endnutzerkontakt installiert war. Der Anwender hatte also keine Möglichkeit, einer Infektion auszuweichen.

In der Regel war die Malware nicht Teil der Werks-ROMs des Herstellers, sondern wurde im Laufe des Vermarktungsprozesses auf die Geräte aufgespielt, bevor sie den Endkunden erreichten. Sechs der gefundenen Schädlinge hatten erweiterte Zugriffsrechte und konnten nicht durch den User entfernt werden, ihre Beseitigung wäre nur durch Flashen des Devices möglich gewesen.

Bei dem vorinstallierten Schadcode handelte es sich um Info-Stealers und Rough-Ad Netzwerke. Eine davon ist die Ransomware Slocker: Sie setzt auf AES-Verschlüsselungsalgorithmen, um sämtliche Dateien auf dem Endgerät zu chiffrieren. Die Kommunikation mit dem Command-and-Control-Server (C&C-Server) wird über das Tor-Netzwerk getarnt, und der Zugriff auf die befallenen Daten ist erst nach Bezahlung des Lösegelds möglich.

Ein weiterer Fund ist die Loki-Malware: Der Schädling ist komplex und verbindet verschiedene Komponenten in seine Angriffen. Einerseits zeigt Loki nicht-legitime Werbung, um Umsatz zu generieren. Zudem stiehlt die Malware Details über das Gerät und erschleicht sich Systemzugriffsrechte.

Natürlich sollten Anwender keine verdächtigen Apps herunterladen und keine unsicheren Homepages besuchen. Allerdings reicht das in diesem Fall nicht mehr aus: Vorinstallierte Malware bedroht selbst die vorsichtigsten Benutzer. Besonders kritisch ist, dass die Infektionen den Nutzern nicht durch eine Veränderung der User Experience auffallen. Bei heruntergeladenem Schadcode konnten eventuelle Veränderungen wahrgenommen werden – jedoch nicht bei vorinstallierten Bedrohungen.

Bedrohungen in Google Play getarnt als legitime Apps

Mit Viking Horde, DressCode und CallJam sind schon einige Schädlinge bekannt, die sich im Google Play Store als legitime Apps verstecken konnten. Eine neue Gefahr geht von der Skinner-Malware aus, die als Spiel getarnt von über 10.000 Usern heruntergeladen wurde. Vor zwei Monaten hat Google die App aus dem Play Store entfernt ‑ nachdem Forscher das Sicherheitsteam von Google informiert hatten.

Das Novum bei Skinner sind die ausgefeilten Verschleierungsmechanismen: Der Code enthält eine Datenbank, die nach der Installation entpackt wird. Dabei tarnt Skinner die Malware-Komponenten bis eine echte Nutzeraktivität registriert wird – vorher werden keine Aktionen ausgeführt. Registriert Skinner beispielsweise die Öffnung einer App, beginnt es seinen Angriff. Dabei prüft der Schädling, ob Debugger oder Emulationen laufen. Falls diese aktiv sind, wird keine Attacke gestartet. Damit will Skinner die Entdeckung durch Sicherheits-Tools unterbinden. Erst dann werden Daten zum C&C-Server geschickt, diese enthalten: Informationen über Prozesse, Apps sowie Anfragen zum Anzeigen von Werbung auf dem Gerät des Opfers.

Die Angebote werden nicht zufällig gewählt. Die Malware prüft, welche Werbung den Kunden ansprechen könnte, um ihn zum Anklicken zu verleiten. Solche personalisierten Angriffe sind neu für mobile Adware. Derartiges Verhalten kennt man sonst nur aus Banker-Overlay-Schädlingen.

Durch die zugeschnittene Werbung ist die Malware erfolgreich. Die innovative Taktik geht auf. Skinner braucht deutlich weniger Infektionen als andere Adware, um die gleiche Menge an Klicks zu erzielen. Durch kleinere Opferzahlen wird eine Entdeckung unwahrscheinlicher, da wenige Sicherheitsmechanismen die Malware untersuchen. Es ist wahrscheinlich, dass andere Kriminelle die Vermeidung von Alarmen in Zukunft vermehrt als Taktik einsetzen.

Fazit

Unternehmen müssen verstehen, dass im Mobile-Bereich nicht nur die gleichen Sicherheitsmechanismen wie bei klassischen Endpunkten wie PCs greifen müssen, sondern dass es weitere Bedrohungen speziell nur im Mobilsektor gibt. Vorinstallierte Schädlinge ab Werk und Malware im Google Play Store sind keine Einzelfälle, sondern der Regelfall.

Die Bedrohungslage hat sich verändert, allerdings gibt es entsprechende Sicherheitslösungen für Mobilgeräte, um die Gefahr weitgehend zu minimieren. Nutzer können sich nicht allein auf Hersteller und App Stores verlassen, da Cyberkriminelle in der Lage sind, ihre schädlichen Apps auch dort zu verbreiten.

Über den Autor:
Oren Koriat ist Cyber Analyst bei Check Point. Er ist ein mehrsprachiger Technologie-Enthusiast mit Know-how im Bereich asiatischer mobiler Softwaremärkte. Koriat hat einen Abschluss in Linguistik von der Bar-Ilan-Universität.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Fünf Herausforderungen beim Schutz von Daten auf mobilen Geräten

Warum ist mehrschichtige Sicherheit für mobile Geräte am besten?

Diese drei Bedrohungen sind für die Mobile Security am schlimmsten

Kostenloses E-Handbook: Mobile Security in der Praxis

Artikel wurde zuletzt im März 2017 aktualisiert

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close