Smartphones und mobile Endgeräte befinden sich verschärft im Visier der Angreifer*innen – und das aus gutem Grund.
Mit all seinen Features ist das Smartphone eine wahre Schatzgrube für persönliche Daten: Es bietet alles, was man braucht, um die virtuelle Identität seiner potenziellen Opfer zu übernehmen. Es ist oft online und oft ungeschützt. Und es ist weiterhin unterschätzt.
Kein blindes Vertrauen in „vertrauenswürdige Quellen“
IKARUS-Experte Sebastian Bachmann beobachtet den Android Malware-Markt bereits seit Jahren: „Die Malware-Entwickler haben ihre Chancen erkannt und entsprechend Entwicklungsarbeit investiert. Dabei sind nicht nur die bösartigen Funktionen der Schadprogramme effizienter und perfider geworden, auch ihre Verbreitungs- und Verschleierungstaktiken wurden optimiert.“
Der althergebrachte Tipp, nur Apps aus offiziellen Stores zu installieren, ist zwar nach wie vor empfehlenswert, aber schon lange nicht mehr genug: Immer häufiger gelang es Malware-Entwickler*innen in den letzten Jahren, infizierte Apps am Google Bouncer, dem Antimalware-Programm des Google Play Stores, vorbeizuschummeln. Auch auf legitimen App-Märkten heißt es also, die Augen offen zu halten.
Downloads und Sterne: der Schein trügt
Dass auch auf hohe Downloadzahlen und viele Sterne kein Verlass mehr ist, ist spätestens seit GhostPush bekannt: Der Trojaner schaffte es 2016 über mehrere infizierte Apps in den PlayStore und gründete mit den infizierten Geräten ein Werbe-Botnetz: Nach Erlangen der Root-Rechte lud er weitere schädliche Apps nach – und vergab diesen gute Bewertungen am PlayStore.
So machten infizierte Apps wie Brain Test, Monkey Test oder Time Service zu Unrecht einen guten ersten Eindruck auf potenzielle Nutzer*innen. Denn nach dem Download der Apps (und damit eines Backdoors) waren die Geräte aufgrund der Überzahl an nachgeladenen Apps, Adware und Popups kaum noch zu benutzen und die Schädlinge schlimmstenfalls nicht mehr zu beseitigen.
Rootkits: Deinstallation fehlgeschlagen
Eine besonders unangenehme „Begleiterscheinung“ manch anspruchsvoller Malware für Mobilgeräte: Rootkits auf den Geräten, die das komplette Entfernen der Schadprogramme unterbinden. „In manchen Fällen hilft das Zurücksetzen des Gerätes auf Werkseinstellungen und, sofern möglich, das erneute Aufspielen der originalen Firmware. Manchmal bietet jedoch nur ein neues Gerät Abhilfe gegen die Malware“, so Bachmann.
Zuletzt zeichnete sich bei Adware jedoch ein Trend in Richtung Minimalismus ab: Damit der Klickbetrug möglichst lange unentdeckt bleibt (und den Malware-Entwickler*innen möglichst viel Geld einbringt), interagiert beispielsweise das Ende 2018 berühmt gewordene Schadprogramm Andr/Clickr-ad nur in einem versteckten Browser-Fenster mit den angeforderten Ads. Die Apps – eines der bekanntesten Beispiele: Sparkle mit mehr als 1 Mio. Downloads – funktionierten ansonsten wie im PlayStore beschrieben, einzige Auffälligkeit wäre ein erhöhter Akku- und Datenverbrauch. Interessantes Detail: Betroffen waren nur die Android-Versionen der Apps, nicht jedoch die iOS-Versionen. Da iPhone-Klicks oft jedoch mehr Geld bringen, gab sich die Android-Malware teilweise als ein solches aus.
Copycats, Trittbrettfahrer-Apps und Fake Apps
Besonders gehypte und beliebte Apps – einst Angry Birds, später Pokémon Go, Minecraft oder Fortnite, aber auch „Basics“ wie Antiviren-Apps – werden gerne von Trittbrettfahrer-Apps begleitet, die dem Original zum Verwechseln ähnlich sehen, jedoch mit Malware gespickt sind oder der Spionage dienen.
Viele der gefundenen Schadprogramme der Vorjahre erinnern an Ransomware: Teilweise versuchen Sperrbildschirme den Zugriff auf das Gerät zu unterbinden, während im Hintergrund weiter Geld mit Werbeklicks ergaunert wird. In andere Fällen erschrecken die schädlichen Apps die Nutzer*innen mit der Meldung, dass das Gerät mit Malware infiziert sei und gegen eine Geldzahlung angeblich bereinigt werden könnte. Manche Trends sind für Android-Malware-Experte Bachmann vorhersehbar: „Einer der Gründe, warum die Fake Apps erneut so gut funktioniert haben, war, dass Fortnite nicht im Playstore veröffentlicht wurde1.“ Denn gesucht wurde dort natürlich trotzdem – gefunden wurden Trittbrettfahrer.
Auch nicht ganz neu, dennoch erfolgreich genug, um ertragreich zu sein, sind speziell produzierte und im Playstore veröffentlichte Bücher oder Hörbücher: Fans werden dazu verleitet, die eher nutzlosen Dateien zu kaufen und womöglich auch bestimmte Apps zu installieren.
„Nachzahlungen“ für Billig-Geräte
Andere Fake-Apps wiederum arbeiten mit den Rechten, die sie als vermeintlich vertrauenswürdige Anwendung erhalten, und spionieren Nutzerdaten aus. Denn wer beispielsweise Zugriff auf SMS hat, kann damit theoretisch auch TANs abgreifen. Neben Name, Logo und Beschreibung einer App sollte vor dem Download daher auch die angegebenen Berechtigungen und den Namen der Entwicklerfirma der App genau überprüft werden.
Wer auf billige Android-Geräte setzt, bekommt die Spione womöglich bereits mitgeliefert: Ende 2016 wurde erstmals über infizierte Firmware auf Android-Geräten berichtet. Auch 2018 war die Gruppe nach wie vor aktiv: Die Malware Cosiloon wurde auf mehr als 140 Android-Geräten nachgewiesen, wobei nach wie vor unklar ist, wie genau sie dorthin gelangt. Als System-App mit Root-Rechten hat die Malware so ziemlich jede Möglichkeit – scheinbar werden die nachgeladenen Apps jedoch ausschließlich genutzt, um Werbung auszuspielen.
Tipps für sichere Mobilgeräte
Neben dem wichtigsten Sicherheitstipp – informiert, aufmerksam und misstrauisch sein – empfehlen wir dringend, Ihre Mobilgeräte genauso selbstverständlich wie Ihre Desktops und Laptops mit professioneller Antiviren-Software abzusichern. IKARUS mobile.security scannt alle Downloads und Updates auf Infektionen. Außerdem bietet der Security-Advisor anhand der erfolgten Einstellungen Tipps zur Absicherung des Gerätes, und das Feature Privacy Control zeigt Apps auf, die über potenziell missbräuchliche Berechtigungen verfügen.
Ein Android-Test-Virus hilft zudem dabei, die Funktionen und Wirkweise von Security-Apps zu überprüfen und kennenzulernen.