![[Aufmachergrafik: heller, corporate design]](07-1-076-0.jpg)
Zum Sprung bereit Mobile Malware – akute Bedrohung oder lauernde Gefahr? Zum Sprung bereit Mobile Malware – akute Bedrohung oder lauernde Gefahr?Anti-Viren-Software-Hersteller warnen bereits seit Jahren vor mobiler Malware, die sich gegen Smartphones, Mobiltelefone und Personal Digital Assistants (PDAs) richtet. Doch während die PC-Welt von immer raffinierteren Angriffswellen bedroht wird, blieben Nachrichten über einen erfolgreichen Angriff auf mobile Geräte bis heute aus. Obwohl die Anzahl mobiler Geräte im privaten und geschäftlichen Einsatz beständig wächst, scheinen die mobilen Malicious Codes nicht ernstlich aus dem Proof-of-Concept-Stadium herauszukommen. Zur Risikoeinschätzung soll zunächst ein kurzer Rückblick über die Entwicklung mobiler Schadcodes helfen.
Die zweifelhafte Ehre des ersten Mobile-Malware-Angriffs auf Mobiltelefone entfällt höchstwahrscheinlich auf Symbos_Cabir, der am 20. Juni 2004 von Trend Micro und anderen Anti-Viren-Labors entdeckt wurde. Der Malicious Code richtete sich gegen das Symbian-Betriebssystem mit Series-60-Benutzerinterface und verbreitete sich über Bluetooth. Potenzielle Angriffsziele mussten sich deshalb in der näheren Umgebung des infizierten Handys befinden und die Geräte mussten so konfiguriert sein, dass ankommende Verbindungen akzeptiert wurden.
Cabir war zudem bei der Installation auf die aktive Zustimmung des Anwenders angewiesen: Obwohl die Dateien erkennbar von einer nicht-vertrauenswürdigen Quelle stammten, stimmte dennoch eine Vielzahl von Anwendern der Installation zu. Streng technisch gesehen handelt es sich bei Cabir nicht um ein Virus, da er sich nicht selbständig verbreitet und keine Dateien infiziert. Die Malware wurde offensichtlich als Proof-of-Concept programmiert, nicht als Malicious Code mit der expliziten Aufgabe, Mobiltelefone zu schädigen. Im Gegensatz dazu versuchten bereits folgende Malware-Familien wie Skulls, Handy-Funktionen zu blockieren oder die Bluetooth-Schnittstelle abzuschalten. Im Juli 2004 wurde zudem mit WinCE_Duts die erste Mobile Malware für die Windows-CE-Plattform entdeckt. Duts verbreitete sich, indem der eigene Code an gefundene Portable-Executable-(PE)-Dateien angehängt wurde.
Mit PE_Vlasco.A im Januar 2005 erreichte die Bedrohung durch Mobile Malware eine neue Qualität: Auch Vlasco griff gezielt Bluetooth-fähige Geräte an und beeinträchtigte Mobiltelefone mit Symbian Operating System (OS) und Series-60-Anwender-Interface. Anders als seine Vorgänger infizierte das Virus aber auch Windows-Systeme und gelangte erstmalig als ausführbare Datei auf die Geräte. Damit konnte sich der Malicious Code wie ein normaler Datei-Infektor verhalten und gleichzeitig seine Programmroutinen über Mobiltelefone verbreiten. Dieses Cross-Platform-Virus war sehr wahrscheinlich das Ergebnis umfangreicher Experimente und basierte auf detailliertem Malware-Know-how.
Dass Malware-Programmierer an immer raffinierteren mobilen Bedrohungen arbeiteten, zeigte sich kurz darauf auch an Symbos_Comwar.B, der sich erstmals nicht über Bluetooth, sondern über Multimedia Messaging Service (MMS) verbreitete. Dieser Dienst ist an sich lediglich für den Versand von Bildern, Texten und Sound-Dateien ausgelegt.
Schon im September 2005 legte dann Cardtrp.A die Messlatte noch einmal höher: Dieser Malicious Code verbreitete sich sowohl über Bluetooth als auch MMS und infizierte zudem Speicherkarten. Sobald der Anwender eine infizierte Karte am PC einsetzte, bestand auch dort die Gefahr einer Infektion. Danach versucht der Schädling, sich auf weitere PC-Systeme zu verbreiten – Cardtrp konnte also zwischen Mobiltelefonen und PCs springen.
Neue technische Möglichkeiten zeigten 2006 die zwei Schädlinge Redbrowser und Wesber, die sich gegen die mobile Java-Version J2ME richteten. Eine Vielzahl moderner Mobiltelefone, Smartphones und PDAs unterstützen diese Plattform und sind somit potenziell von Redbrowser und Wesber bedroht. Zudem lässt sich an diesen beiden Malicious Codes ein weiterer Trend exemplarisch festmachen: die Verfolgung finanzieller Interessen mittels Malware. Beide Schadcodes versuchen, auf Kosten des Anwenders etliche SMS an russische Premiumdienste zu versenden.
Von besonderem Interesse sind darüber hinaus die 2006 entdeckten Malicious Codes Mobler und Acallno. Mobler ist die erste Attacke, die sowohl auf Symbian als auch auf Windows funktioniert. Der Handy-Wurm kann über den Umweg von Speicherkarten zwischen Computer und Telefon hin und her springen. Bei Acallno handelt es sich sogar um eine kommerzielle Entwicklung zum gezielten Ausspionieren eines konkreten Mobiltelefons: Der Schadcode dupliziert heimlich alle empfangenen und verschickten SMS vom Handy des Betroffenen und versendet sie an eine speziell eingerichtete Nummer.
Aus diesem kurzen Überblick lassen sich verschiedene Trends ablesen: Zum einen haben sich die Malicious Codes "unterhalb des Radars" binnen dreier Jahre vom Proof-of-Concept zur einsatzbereiten Bedrohung entwickelt. Einige Exemplare weisen dabei ein erhebliches Maß an Know-how über mobile Plattformen und Malware-Entwicklung auf. Offensichtlich ist innerhalb der Malware-Szene also durchaus ein großes Interesse an mobilen Plattformen vorhanden. Diese Beobachtung wird durch die vielen Versuche mit unterschiedlichen, teilweise kombinierten Infektionswegen untermauert, durch die Malware-Programmierer die Verbreitung ihrer Schädlinge über enge Plattformgrenzen hinweg ermöglichen wollen.
Dabei geht es der Szene nicht in erster Linie um die "Ehre", die erste große Infektionswelle auf mobilen Geräten auszulösen. Wie PC-Malware verfolgen auch mobile Malicious Codes heute konkrete "Business-Modelle": Finanzielle Interessen stehen im Vordergrund und sollen bislang durch Diebstahl sensitiver Daten oder die Nutzung kostenpflichtiger Dienste realisiert werden. Ziel der Malware-Programmierer ist demnach ein mobiler Malicious Code, der verschiedene Plattformen infizieren kann (Symbian, Windows Mobile, PC), sich selbsttätig verbreitet und konkrete finanzielle Schäden anrichtet.
Trotz einer Vielzahl besorgniserregender Entwicklungen muss eine seriöse Risikoeinschätzung zu dem Ergebnis kommen, dass die akute Gefahr für Anwender heute noch sehr gering ist. Die Anzahl der mobilen Malware hat sich in den letzten Jahren zwar exponentiell vervielfacht, ist aber noch meilenweit vom Bedrohungsszenario der PC-Welt entfernt. Eine Ursache hierfür könnte das spezialisierte Know-how sein, das hierfür erforderlich ist. Anders als für PC-Malware existiert noch kein breites Toolkit-Angebot, mit dem man endlose Schädlingsvarianten schnell und ohne großen Aufwand realisieren kann.
Darüber hinaus ist die Welt der Mobiltelefone, Smartphones und PDAs durch eine heterogene Betriebssystemlandschaft gekennzeichnet. Der Sprung zwischen Symbian OS und Windows Mobile ist nicht trivial und stellt eine erhebliche Hürde für die Malware-Verbreitung dar. Hinzu kommt das Problem des Übertragungsweges: Bluetooth, die bislang von Malware am häufigsten genutzte Schnittstelle, hat nur einen sehr begrenzten physischen Radius. So ist bislang auch nur ein einziger Fall einer Infektionswelle über diesen "Kurzstreckenfunk" bekannt geworden, der sich in einem voll besetzten finnischen Sportstadium abspielte. Diese "Unzulänglichkeit" von Bluetooth hat zu Experimenten mit weiteren Infektionswegen (MMS, Speicherkarten) geführt, die bis heute aber ebenfalls nicht die von der Malware-Szene gewünschte Effektivität erreicht haben.
Der wohl wichtigste Grund für die eingeschränkte Verbreitung mobiler Malware ist jedoch das Fehlen eines durchschlagenden "Business Models": Zwar befinden sich auf Geräten von Geschäftsleuten oftmals sensitive Informationen (Adressen, Termine etc.), die für den Anwender von erheblicher Bedeutung sind – nur existiert für diese Informationen noch kein großer, lukrativer Schwarzmarkt. Im Fadenkreuz der Malware-Szene stehen derzeit vielmehr Passwörter, Online-Banking- und Kreditkartendaten, die sich unmittelbar zu Geld machen lassen. Heute wickeln aber nur verschwindend wenige Anwender ihre Bankgeschäfte und Online-Einkäufe schon per Smartphone ab, weswegen auch die begehrten Daten nicht auf den Geräten landen. Das könnte sich aber schlagartig ändern: Im Funktionsumfang und der Komfortabilität nähern sich die mobilen Systeme immer mehr dem klassischen PC an, sodass eine zukünftige Nutzung für Finanztransaktionen nicht nur möglich, sondern sehr wahrscheinlich ist. Die Einführung neuer Zahlungsmodelle, bei denen Beträge direkt am Point-of-Sale per Handy überwiesen werden, könnte diese Entwicklung noch zusätzlich beschleunigen.
Obwohl die Bedrohung durch Mobile Malware also im Moment noch gering ist, sind zukünftige Gefahren bereits eindeutig abzusehen. Der Sprung von der relativen Sicherheit zur akuten Gefahr ist nur klein! Niemand kann voraussehen, wann die erste richtige Welle mobiler Malicious Codes auf die Anwender zurollt – sicher ist jedoch, dass sie kommen wird! Die Anreize sind letztlich einfach zu groß, um ignoriert zu werden. Unternehmen und Privatanwendern ist daher zu raten, sich schon jetzt zu wappnen und geeignete Sicherheitslösungen auf ihren mobilen Geräten einzuführen.
Entsprechende Produkte werden bereits von namhaften Herstellern für eine breite Palette der populären mobilen Plattformen angeboten. Anwender profitieren davon, dass die Sicherheitsanbieter frühzeitig auf die sich abzeichnende Bedrohung reagiert haben und schon heute über ausgereifte Lösungen mit umfassender Funktionalität verfügen. Neben der Abwehr mobiler Malicious Codes sind auch bereits Personal Firewalls zur Kontrolle des gesamten ein- und ausgehenden Datenverkehrs sowie integrierte Lösungen gegen SMS-Spam verfügbar.
Mobile Malware ist eine Bedrohung in Wartestellung. Aufgrund unterschiedlicher Plattformen und ineffizienter Verbreitungswege ist das Risiko einer Infektion für Anwender derzeit noch gering. Die Anzahl mobiler Malicous Codes wächst zwar beständig, aber viele Exemplare sollen offenbar lediglich die technische Machbarkeit verschiedener Konzepte abklopfen. Trotzdem existieren bereits konkrete Bedrohungen, die erhebliche finanzielle Schäden verursachen können – und damit auch anzeigen, in welche Richtung die Reise geht! Unternehmen und Privatanwender sind gut beraten, nicht bis zum Ernstfall zu warten, sondern zeitnah geeignete Maßnahmen zum Schutz ihrer mobilen Geräte zu ergreifen.
Dipl-Inf. (FH) Rainer Link ist Senior Security Specialist Anti-Malware bei Trend Micro (![[externer Link]](../../../../images/link.gif)
http://de.trendmicro-europe.com/).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2007#1, Seite 76
tag:kes.info,2007:art:2007-1-076
| 