Fortinets mobile Malware Chronik

Fortinets mobile Malware Chronik

Malware-Chronik: Fortinet erklärt Entwicklung mobiler Viren, Würmer und Trojaner sowie ihren Einfluss auf die Smartphone-Nutzung

Vor zehn Jahren verbreitete sich der weltweit erste mobile Wurm Cabir. 2014 attackieren Cyberkriminelle verstärkt Smartphones und vernetzte Geräte.

Frankfurt am Main, 12. Februar 2014 – Ein Jahrzehnt ist es her, dass erstmals ein mobiler Wurm Handys angegriffen hat: Zehn Jahre nach Cabir lässt Fortinet® (NASDAQ: FTNT), führender Anbieter leistungsstarker Netzwerksicherheit, die Geschichte mobiler Malware Revue passieren. Zudem erläutert das Unternehmen, welche Geräte Hacker und Cyberkriminelle heute avisieren und auf welche Methoden Smartphone- und Tabletbesitzer vorbereitet sein sollten.

Das Ausmaß mobiler Malware ist in den vergangenen zehn Jahren geradezu explodiert. 2013 haben die FortiGuard Labs pro Tag mehr als 1.300 neue schädliche Anwendungen aufgedeckt. Zudem prüfen die Fortinet-Experten über 300 Android-Malware-Familien sowie über 400.000 bösartige Android-Anwendungen. Die gewaltige Zunahme an Smartphones und Tablets sowie die Tatsache, dass diese Geräte schnell und problemlos auf Zahlungssysteme zugreifen können, macht sie zu einfachen und beliebten Angriffszielen. Hinzukommen ihre vielfältigen Funktionen wie Geo-Lokalisierung, Mikrophone, GPS oder Kameras, die das Ausspionieren ihrer Besitzer noch effizienter und lukrativer machen. So wie PC-Malware hat sich mobile Malware in den vergangenen Jahren schnell zu einer effektiven neuen Möglichkeit für Cyberkriminelle entwickelt, Geld zu verdienen.

Die wichtigsten mobilen Malware-Methoden der vergangenen Dekade und ihre Bedeutung für die Entwicklung künftiger Bedrohungen:

2004: Cabir war der weltweit erste mobile Wurm, der es zunächst auf Handys der Nokia Serie 60 abgesehen hatte, um dann andere Geräte wie Telefone, Drucker oder Spielekonsolen zu attackieren. Experten nehmen an, dass dieser Wurm von der Hackergruppe 29A als „Proof of Concept“ entwickelt wurde, da er relativ harmlos war.

2005: Weiter ging es mit CommWarrior, der sich ein Jahr später via Bluetooth und MMS verbreitete. Einmal auf dem Handy installiert, verschaffte sich dieser Virus Zugriff zu den Kontakten des Gerätes und schickte sich über den MMS-Dienst zu jedem Kontakt; der Handybesitzer musste für die MMS zahlen. CommWarrior trieb sein Unwesen in über 18 Ländern in Europa, Asien und Nordamerika – zum ersten Mal verbreitete sich ein mobiler Wurm genauso schnell wie ein PC-Wurm.

2006: Es folgte ein Trojaner namens RedBrowser, der Handys via Java 2 Micro Edition (J2ME)-Plattform infizierte und Anwendern suggerierte, dass er eine Applikation sei, die die Darstellung von Wireless Application Protocol (WAP)-Webseiten verbessere. Indem sie Java und nicht das Betriebssystem des Gerätes avisierten, konnten die Entwickler diesen Trojaner deutlich weiter streuen. Zudem nutzte RedBrowser besonders teure SMS-Dienste, die den Handybesitzer durchschnittlich rund fünf Dollar pro SMS kosteten. Erstmalig wurden zahlreiche Geräte mit verschiedenen Betriebssystemen infiziert.

2009: Anfang dieses Jahres entdeckte Fortinet Yxes, eine Malware, die sich hinter der anscheinend legalen Applikation „Sexy View“ versteckte. Kaum war das Gerät infiziert, leitete das Handy des Opfers sein Adressbuch an einen zentralen Server weiter, der wiederum eine SMS mit einer URL an alle Kontakte verschickte. Durch einen Klick auf diesen Link wurde eine Kopie der Malware heruntergeladen, installiert und so weiter. Yxes verbreitete sich vor allem in Asien. Es war die erste Malware, die das Symbian 9-Betriebssystem attackierte, eine SMS verschickte und dann unbemerkt auf das Internet zugriff. Zugleich sahen Experten Yxes durch die Kommunikation mit einem Server via Fernzugriff (remote) als erste Vorläufer eines neuen Virustyps: Handy-Botnetze.

2010: Während in den Jahren zuvor vor allem einzelne Hacker und kleinere Hackergruppen Handys auf dem Radar hatten, tauchten 2010 erstmals große organisierte und weltweit operierende mobile Cybersyndikate auf. Die Ära der „industrialisierten mobilen Malware“ begann, in der immer mehr Hacker erkannten, dass sie mit mobilen Geräten viel Geld verdienen können. In diesem Jahr gab es zudem die erste mobile Malware, die sich von PC-Malware ableitet. Zitmo, kurz für „Zeus in the mobile“, war die erste bekannte Variante von Zeus, einem extrem schadhaften Banking-Trojaner der PC-Welt. Zitmo überlistet Sicherheitstechniken des Online-Bankings und leitet SMS um, die für Finanztransaktionen genutzt werden. Eine weitere Malware war Geinimi, die erstmals die Android-Plattform attackierte und das infizierte Gerät als Teil eines mobilen Botnetzes ausnutzte. Auch Geinimi kommunizierte mit einem Remote Server, installierte und deinstallierte Anwendungen und konnte so letztendlich Geräte vollständig kontrollieren.

2011: Die Zahl der Android-Angriffe nahm in diesem Jahr immer mehr zu. Des Weiteren wurde Malware immer stärker und ausgefeilter. DroidKungFu gilt noch heute als einer der technologisch fortschrittlichsten Viren. Zu den Charakteristiken dieser Malware gehörte, dass sie Handys vollständig kontrollierte und anschließend einen Command-Server kontaktierte. DroidKungFu konnte zudem Anti-Virus-Software umgehen. Die Malware war typischerweise bei inoffiziellen chinesischen Drittpartei-App Stores und Foren erhältlich. Eine weitere Malware, die 2011 erstmals auftauchte und noch heute zu den am verbreitetsten Android-Schadprogrammen gehört, ist Plankton, eine aggressive Version von Adware. Diese Malware lädt ungewollte Apps auf das Handy, ändert die Homepage des mobilen Browsers oder fügt neue Shortcuts oder Bookmarks hinzu. Plankton gehört zu den Top Ten der verbreitetsten Viren, darunter auch PC-Schadprogramme. Mobile Malware steht den PC-Schädlingen daher in nichts mehr nach. Plankton allein hat mehr als fünf Millionen Geräte infiziert.

2013: Im vergangenen Jahr tauchte FakeDefend auf, die erste Ransomware für Android-Geräte. Dieses Programm gibt sich als Anti-Virus aus und arbeitet ähnlich wie gefälschte PC-Antivirensoftware. FakeDefend sperrt das Telefon und verlangt vom Opfer ein „Lösegeld“ (Ransom) in Form einer extrem teuren Anti-Virus-Gebühr. Doch auch wenn diese bezahlt wird: Der Besitzer muss sein Gerät dennoch auf die Werkseinstellung zurücksetzen, um die Funktionalität wiederherzustellen. Im März 2013 erschien zudem Chuli, die erste gezielte Attacke, die eine Android-Malware beinhaltete. Chuli nutzte den Account eines Aktivisten der World Uyghur Conference, um so die Accounts anderer tibetanischer Menschenrechtler anzugreifen. Chuli war ein E-Mail-Anhang und sollte Daten wie eintreffende SMS, Kontakte der SIM-Karte und des Telefons sowie Standortinformationen sammeln und Telefongespräche des Opfers aufnehmen. Diese Informationen wurden dann an einen Remote Server gesendet. Christian Vogt, Regional Director Deutschland und Niederlande bei Fortinet, kommentiert: „Seit dem vergangenen Jahr werden mobile Malware-Attacken immer professioneller, gezielter und ausgefeilter. Immer häufiger fallen Begriffe wie ,mobiler Cyber-Krieg’, und es gibt vermehrt und berechtigterweise Diskussionen über eine mögliche Beteiligung von Regierungen und anderen nationalen Organisationen an diesen Attacken.“

Ein Blick in die Zukunft: Mobile Bedrohungen haben sich in den vergangenen zehn Jahren stark verändert. Cyberkriminelle finden stets neue und ausgeklügelte Wege, um mit Malware Geld zu verdienen. Durch die Flut an Smartphones und anderen mobilen Geräten werden die Grenzen zwischen mobilen und stationären, also PC-, Bedrohungen weiter verschwinden. Jede Malware wird mobil, da immer mehr Geräte mobil und internetfähig sind. Ein weiteres potenzielles Ziel von Hackern und Co. ist daher das sogenannte Internet der Dinge, also eingebettete Computer in allen Bereichen des alltäglichen Lebens. Die Analysten von Gartner gehen davon aus, dass bis 2020 rund 30 Milliarden Dinge, Geräte und Gegenstände vernetzt sein werden, die IDC geht sogar von 212 Milliarden aus. „Zwar entdecken immer mehr Anbieter die Umsatzmöglichkeiten dieses Geschäftsbereichs für sich. Allerdings ist nicht davon auszugehen, dass hierbei Sicherheitsaspekte bislang umfassend berücksichtigt wurden“, warnt Christian Vogt. Es sei gut möglich, „dass das Internet der Dinge schon bald das beliebteste Angriffsziel für Cyberkriminelle wird.“

Über Fortinets FortiGuard Labs

FortiGuard Labs stellt Statistiken und Trends zu Bedrohungen im jeweiligen Analysezeitraum zusammen, basierend auf Daten der FortiGate Network Security Appliances und Intelligence-Systemen, die weltweit eingesetzt werden. Kunden, die Fortinets FortiGuard Services nutzen, sollten gegen die im Bericht beschriebenen Schwachstellen geschützt sein – vorausgesetzt, die entsprechenden Konfigurationsparameter wurden adaptiert.

FortiGuard Services bieten umfassende Sicherheitslösungen, einschließlich Antivirus, Intrusion Prevention, Web Content Filtering und Anti-Spam-Funktionen. Diese Dienste helfen, sich vor Bedrohungen sowohl auf Anwendungs- als auch Netzwerkebene zu schützen. FortiGuard Services werden von FortiGuard Labs aktualisiert. Hierdurch kann Fortinet eine Kombination aus mehrschichtiger Security Intelligence und Zero-Day-Schutz vor neuen und sich abzeichnenden Bedrohungen bieten. Für Kunden mit FortiGuard-Abonnement werden die Updates zu allen FortiGate-, FortiMailund FortiClient-Produkten bereitgestellt.