Smartphone-Malware, Teil 2: Was Virenscanner auf dem Smartphone finden

Schadsoftware in Apps ist auf dem Vormarsch. Das Prüflabor AV-Test hat sich daher die kostenlosen Antivirenlösungen für Android vorgeknöpft. Das Ergebnis ist ernüchternd: Nur eines von sieben Werkzeugen arbeitet halbwegs ordentlich. Der Rest zeigt deutliche Mängel und wiegt Anwender in trügerischer Sicherheit.

Dieser Beitrag ist mehr als 11 Jahre alt.
Bild: Yael Weiss

Trojaner machen mobil

Von Uli Ries

Google sieht dem Treiben der Malware-Schreiber, die es auf Smartphones abgesehen haben, keineswegs tatenlos zu. Immer wieder entfernt das Unternehmen bösartige Apps aus dem Web und löscht diese auch automatisch von den Smartphones, die damit infiziert waren.

Zuletzt wurden im März 2011 über 50 Anwendungen gelöscht, die mit dem Trojaner DroidDream infiziert waren. Auch im Juli wurde wieder gesäubert, allerdings im kleineren Umfang.

Schädlinge auf der Handyrechnung

Am weitesten verbreitet sind einem Virenforscher von Kaspersky zufolge heutzutage SMS-Trojaner. Sie schleusen sich als harmlose App wie z.B. als vermeintlicher Mediaplayer auf das Smartphone des Opfers. Im Player versteckt ruht jedoch schädlicher Programmcode. Im Fall der SMS-Trojaner verschickt dieser Code Kurznachrichten an teure SMS-Dienste auf Kosten des Opfers. Der Umsatz kommt den Betrügern zugute.

Auch ZeuS, der in der Windows-Welt berüchtigtste Banking-Trojaner, hat einen Smartphone-Ableger namens Zitmo. Im Team mit dem auf dem PC des Opfers installierten ZeuS hebelt Zitmo auch das bislang als sicher geltende mTAN-Verfahren aus. Bei mTAN werden die Codes zum Bestätigen der Transaktion per SMS aufs Mobiltelefon des Bankkunden geschickt.

Serie: Smartphone-Malware
Teil 1 sagt, warum Mobilgeräte die Zielscheiben der Zukunft sind: Die Anwender sind zu sorglos und die App-Installationen zu hastig. Teil 2 nennt einige besonders perfide Beispiele und testet, was kostenlose Virenscanner nützen: praktisch gar nichts.

Besonders perfide ist Soundminer: Dieser Schädling analysiert mit dem Smartphone geführte Telefonate und erkennt Kreditkartennummern im Sprachstrom. Soundminer schneidet das Gespräch mit und schickt den relevanten Ausschnitt an seinen Schöpfer. Zum Glück wurde diese Malware nicht im Netz entdeckt, sondern ist eine Kreation von Forschern, die kein Interesse an echten Infektionen haben.

Gemini wartet auf neue Befehle

Anfang 2011 tauchte mit Gemini der erste Botnetz-Trojaner für Smartphones auf. Ganz im Stil der vom PC bekannten Schädlinge verbindet sich auch Gemini nach der Installation mit einem C&C-Server (Command and Control), um so Kommandos vom Bot-Herder zu empfangen.

Mobile Spam-Schleudern
Prinzipiell lassen sich auch infizierte Smarthones zu Botnet-Zombies machen. Zwar ist die Geschwindigkeit der Internet-Anbindung niedriger als bei PCs, so dass sich Bot-Funktionen, die viel Bandbreite benötigen, nicht auf Mobiltelefone portieren lassen. Aber dennoch streben die Malware-Macher natürlich an, ihre Schädlinge aus der Ferne kontrollieren zu können.

Was Gemini vor hat, ist auch Fachleuten noch unklar. Die Erklärungsversuche reichen von einem mobilen Botnet bis hin zu einem gekaperten Werbenetzwerk. Letzteres könnte den Gemini-Machern – oder deren Kunden – dazu dienen, mit ihrem Geschöpf Geld zu verdienen. Außerdem lassen sich auf diesem Weg Links zu manipulierten Webseiten auf dem Display des Geräts anzeigen – ein weiterer Weg, um später neue Varianten der Malware auf das Smartphone zu schleusen.

Fest steht: Der Schädling kann – wie die meisten anderen Android-Trojaner auch – die aktuelle Position des Smartphones auslesen und die GPS-Daten zum C&C-Server schicken. Ebenfalls ausgelesen werden die zum Identifizieren von Endgeräten und SIM-Karten verwendeten IMEI und IMSI und die auf dem infizierten Smartphone installierten Anwendungen. Um eventuell gefährliche Anwendungen wie Antivirensoftware los zu werden, fordert Gemini das Entfernen dieser Programme vom Nutzer.

Es fällt nicht leicht, aber es muss sein: Es ist jetzt an der Zeit, sich als Nutzer eines Smart­phones mit dem Schutz des Geräts und somit der eigenen Daten zu befassen. Dass dies noch zu wenige tun, belegt eine Um­frage des auf IT-Sicher­heit spezialisierten SANS Institutes: 2010 hatten lediglich 15 % aller befragen Smartphone-Nutzer eine Schutz­software auf ihren Geräten installiert; das ist seitdem kaum besser geworden.

Die größte Gefahr geht von den alternativen Anwendungs­verzeichnissen für Android-Apps aus. Solche App-Sammlungen zu meiden und Anwendungen nur aus dem offiziellen App Market zu beziehen, bietet also einen gewissen Schutz. Soll es doch ein alternatives App-Verzeichnis sein, dann vor der Installation besser das Rating prüfen und vor allem Bewertungen von anderen Anwendern lesen.

Der wohl wichtigste Ratschlag ist aber: Anwender sollten prüfen, welche Berechtigungen die jeweilige – eventuell bösartig modifizierte – Applikation bei der Installation einfordert. Je mehr Rechte, desto gefährlicher. Warum muss ein Mediaplayer SMS verschicken oder aufs Telefonbuch zugreifen können? Ist die Ortsbestimmung per GPS durch das Gratisspiel wirklich nötig? Und warum sollte eine Einkaufszettel-App Netzwerkzugriff bekommen? Einmal mehr ist der gesunde Menschen- und Technikverstand der beste Schutz.

Ob sich Antivirensoftware lohnt

Für die einen ist es eine unbequeme Wahrheit, für die anderen übertriebene Vorsicht: die Installation von Antivirensoftware auf Smartphones. Skeptiker sagen, dass es zu wenig Schädlinge gibt und AV-Software somit eine unsinnige Belastung der ohnehin schmalen Smartphone-Ressourcen sei (Speicher, Akkuleistung). Vorsichtige Zeitgenossen zeigen sich alarmiert von der Aktualität des Themas.

Bowling troj.png
Geschnappt: Eine Antivirensoftware hat Schadcode in einem Bowling-Spiel entdeckt.

Das unabhängige Prüflabor AV-Test hat in einem Vergleichstest die Schutzleistung von sieben kostenlosen Antiviren-Apps für Googles Android-Betriebssystem unter die Lupe genommen. Das Ergebnis war nicht gerade berauschend: Sechs der sieben Gratislösungen schützen laut AV-Test bestenfalls mangelhaft.

Getestet wurden die im offiziellen Android Market angebotenen Freeware-Apps BluePoint Antivirus Free, Creative Apps Antivirus Free, GuardX Antivirus, Kinetoo Malware Scan, LabMSF Antivirus beta, Privateer Lite und Zoner Antivirus Free.

Die Apps mussten in einem manuellen Scan aktuelle Bedrohungen – 83 Android-Installationsdateien (APK) und 89 Dateien im Dalvik-Binärformat (DEX) – erkennen. Außerdem wurde die Wächterfunktion, die dem Anwender bösartige Apps anzeigen soll, bevor er sie installiert oder ausführt, jeweils mit zehn der bekanntesten Malware-Programme getestet.

Gratisscans sind trügerisch

Das Resultat: Lediglich Zoner AntiVirus Free arbeitete halbwegs ordentlich, die anderen sechs Kandidaten versagten. Zoner AntiVirus Free erkannte acht der zehn Malware-Apps, während die Wächter von BluePoint Antivirus Free, Kinetoo Malware Scan und Privateer Lite jeweils nur einen einzigen Angriffsversuch bemerkten. Creative Apps Antivirus Free, GuardX Antivirus und LabMSF Antivirus beta ließen gleich alle Übeltäter passieren. Im Fall von Creative Apps ist dies immens gefährlich, da diese Anwendung laut AV-Test zwischen 1 und 5 Mio. Mal installiert wurde.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Beim manuellen Test sah das Ergebnis ähnlich aus: Zoner AntiVirus Free erkannte 55 von 172 Schädlingen (32 %). Danach folgte Kineto Malware Scan mit einer Rate von elf von 172 (6 %) und BluePoint Antivirus Free mit zwei von 172 (1 %) Bedrohungen. Die anderen vier Kandidaten erkannten keine einzige der Schaddateien. (AV-Test ließ zum Vergleich übrigens die kommerziellen Scanner von F-Secure und Kaspersky mitlaufen. Diese zeigten bessere Erkennungsraten: Mindestens die Hälfte der Schädlinge wurde bereits im inaktiven Zustand erkannt.)

Fazit: Geschenkt ist noch zu teuer

Besonders bedenklich sind die schlechten Raten der Freeware in Anbetracht der Tatsache, dass es derzeit noch sehr wenige Android-Schädlinge gibt. Die Software sollte an sich mit diesem überschaubaren Haufen zurechtkommen, zumal auch noch keine polymorphen Schädlinge entdeckt wurden. Wenn die Erkennungstechnik schon bei statischem Schadcode versagt, dürfte bei Trojanern, die sich laufend verändern, erst recht keine Hoffnung auf taugliche Erkennungsraten sein.

Das Fazit von AV-Test: Anwender sollten sich nicht auf Produktbeschreibungen, hohe Download-Zahlen und User-Bewertungen verlassen, wenn sie sich für eine Antivirenschutzlösung entscheiden. Denn der Einsatz kostenloser Schutzsoftware, die schlecht oder gar nicht schützt und dennoch einen falschen Eindruck der Sicherheit schafft, ist unter Umständen noch gefährlicher als der Verzicht auf so eine Lösung.

Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.

Kontakt via Xing

Nützliche Links