Jedes Gerät mit Internetzugang und Zugriff auf sensible Daten sollte unbedingt technische Schutzmaßnahmen nutzen.
Gerade bei Smartphones und Tablets empfiehlt es sich außerdem, die Zugriffsberechtigungen, die von Apps verlangt werden, kritisch zu hinterfragen.
Der PlayStore hat seine Entwicklerrichtlinien vor kurzem dahingehend angepasst, dass nicht mehr jede App jede Berechtigung anfordern darf. Gerade sensible Datenzugriffe wurden massiv eingeschränkt. Auch App-Updates dienen oft der Sicherheit der Nutzer*innen und sollten so bald als möglich installiert werden.
System-Updates helfen – aber schützen nicht
Nicht alle Herstellerfirmen bieten langfristig aktuelle Software-Updates für die eigenen Geräte an – entsprechende Garantien sollten durchaus ein Kriterium bei der Auswahl eines Mobilgerätes sein.
Ausnahmen bilden zum Beispiel AndroidOne Geräte, die garantiert über einen längeren Zeitraum immer mit den neusten Updates versorgt werden.
Sicherheits-Updates sind jedoch bei weitem kein Freibrief, wie beispielsweise der Online-Banking-Trojaner Gugi 2016 zeigte. Der Schädling versteckt sich nicht in infizierten Apps oder Downloads, sondern verbreitet sich durch Social-Engineering: Neugierige Nutzer*innen werden dazu verleitet, auf einen schadhaften Link zu klicken, beispielsweise um eine MMS ansehen zu können. Unbekannte und unerwartete Nachrichten sind also nicht nur im E-Mail-Postfach, sondern auch im SMS-Eingang mit Vorsicht bzw. am besten gar nicht zu genießen.
Phishing Screens und Umgehen der 2FA
Banking-Trojaner, die seit dem Vorjahr im Vormarsch sind, versuchen User*innen und deren Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung auszutricksen. Einige arbeiten wie Android-Ransomware mit Overlays, die über legitime Apps wie WhatsApp, Skype, Gmail oder auch Bank-Apps gelegt werden. Meist geht es um Kreditkarten, manchmal um Login-Daten. „Fortgeschrittene“ Versionen nutzen dazu den Lock-Screen und verhindern, dass die Eingabemaske mit dem Home- oder Zurück-Button entfernt werden kann: Das Formular muss ausgefüllt werden, andernfalls ist das Gerät unbrauchbar. Glücklicherweise muss es jedoch nicht (immer) richtig ausgefüllt werden, um das Overlay verschwinden zu lassen!
Ein Ende 2018 entdeckter Banking-Trojaner Spy.Banker geht sogar einen Schritt weiter: Anstatt selbst Zugangsdaten zu stehlen und zu benutzen, bringt er PayPal-Nutzer*innen über Notifications dazu, sich bei PayPal einzuloggen. Danach braucht die App nur 5 Sekunden, um den Angreifenden Geld zu überweisen. Mit dieser Vorgangsweise wird die 2F-Authentication erfolgreich umgangen.
Malicious Apps: Tarnen und täuschen
„Je nach Malware ist es manchmal gar nicht so einfach, eine Infektion zu erkennen“, weiß Android-Malware Analyst Sebastian Bachmann: „Banking-Trojaner oder Premium-Dialer werden sich beispielsweise hüten, sich den Nutzern bemerkbar zu machen. Auch die „Mitarbeiter*innen“ der Werbe-Botnetze verhalten sich oft recht unauffällig und lassen sich nur an einer höheren Anzahl an Ads vermuten. Indizien wie von der Malware versendete SMS, verwendetes Datenvolumen und gesteigerter Akku-Verbrauch gehen in der Menge der (legitimen) Daten meist unbemerkt unter. Wirklich verdächtig ist meist nur die Installation – spätestens bei der Abfrage von Administrationsrechten sollte man hellhörig und sehr, sehr vorsichtig werden.“
Gesundes Misstrauen und professioneller Virenschutz
Vorsorge ist der erste Schritt. Bachmann empfiehlt von schnellen App-Downloads in Eile oder aus Langeweile abzusehen und genau wie beim Rechner zuhause auch beim Smartphone oder Tablet genau hinzuschauen, bevor man runterlädt: „Überlegen und informieren Sie sich genau, welche Programme Sie downloaden wollen, lesen Sie Kommentare und die angeforderten Berechtigungen der App aufmerksam. Hören Sie gegebenenfalls auf Ihr Misstrauen, informieren Sie sich über aktuelle Outbreaks und nutzen Sie vor allem immer ein aktuelles Antivirus-Programm eines vertrauenswürdigen Security-Anbieters!“
Die kostenlose Android-App IKARUS mobile.security schützt Ihre Geräte und Daten: Schädliche Apps werden beim Download erkannt und können sofort gelöscht werden.