Klassifizierung mobiler Malware, Teil 4

23 Okt 2018

Im vierten Teil unserer Studie über mobile Bedrohungen möchten wir über die komplexesten und gefährlichsten Malware-Varianten reden, die nicht nur Android-Fähigkeiten ausnutzen, sondern Ihr System nach ihrem eigenen Geschmack anpassen und zahlreiche schädliche Funktionen miteinander kombinieren können.

RATs — Remote-Access-Trojaner

RATs (Remote Administration Tools; Fernwartungssoftware) können zur Verbindung mit einem Remote-Gerät im Netzwerk verwendet werden und nicht nur den Bildschirminhalt anzeigen, sondern darüber hinaus auch die volle Kontrolle über das Gerät erlangen, indem sie Befehle über Remote-Eingabegeräte erteilen (Tastatur/Maus bei einem Computer; Touchscreen bei einem Smartphone).

Ursprünglich wurden RATs ins Leben gerufen, um verschiedene Einstellungen und Apps auch aus der Ferne verwalten zu können. Schließlich ist es für den technischen Support deutlich einfacher, die richtigen Kontrollkästchen und Einstellungen selbst zu markieren, anstatt zu versuchen, dem Benutzer per Telefon zu erklären, was er tun soll.

Aber in den Händen von Cyberkriminellen werden RATs schnell zu einer außerordentlich gefährlichen Waffe: Einen Trojaner auf Ihrem Smartphone zu installieren, der Außenstehenden Remote-Zugriff auf das Gerät bietet, ist so, als würden Sie einem völlig Fremden die Schlüssel Ihrer Wohnung in die Hand drücken. Der schädliche Einsatz von RATs ist mittlerweile so weit verbreitet, dass das Akronym „RAT“ seine ursprüngliche Bedeutung fast vollständig verloren hat und zunehmend zur Bezeichnung eines „Remote-Access-Trojaners“ verwendet wird.

Wenn Hacker über einen RAT mit Ihrem Gerät verbunden sind, können sie nach Lust und Laune all Ihre Passwörter und PINs ausspionieren, sich in Ihre Banking-Apps einloggen und Geld nach Belieben auf ihr eigenes Konto überweisen und unerwünschte Dienste abonnieren, die langsam das Geld Ihres Mobilfunkkontos oder Ihrer Kreditkarte verbrauchen. Darüber hinaus können sie Ihre E-Mail-, Social-Network- und IM-Konten entwenden, um in Ihrem Namen Geld von Freunden zu erhalten. Und all das, nachdem sie Ihre Fotos kopiert haben, um Sie später erpressen zu können, wenn eines dieser Fotos nicht ganz jugendfrei ist.

Für gewöhnlich werden RATs zu Spionagezwecken verwendet. Derartige Malware gibt eifersüchtigen Ehemännern und Ehefrauen die Möglichkeit, ihren Partner auszuspionieren; in anderen Fällen kann sie aber auch verwendet werden, um Geschäftsgeheimnisse zu entwenden. Die Malware AndroRAT, die im Frühjahr dieses Jahres entdeckt wurde, macht beispielsweise heimtückisch Bilder mit der Smartphonekamera und Tonaufnahmen (inklusive Telefongespräche) über das Mikrofon. Zudem stiehlt sie WLAN-Passwörter basierend auf der Geolokalisierung des Geräts. Das bedeutet, dass keine geschäftliche Verhandlung mehr vertraulich bleibt und das Eindringen in das Unternehmensnetzwerk zum Kinderspiel wird.

Rooting-Trojaner

„Root-Zugriff“ ist bei vielen Betriebssystemen, einschließlich Android, lediglich ein anderer Name für Superuser-Rechte; diese ermöglichen es, Änderungen an Systemordnern und Dateien vorzunehmen. Für normale Nutzeraktivitäten ist ein solcher Zugriff völlig unnötig und deshalb auch standardmäßig deaktiviert. Aber einige Gadget-Liebhaber nutzen die Superuser-Rechte, um ihr Betriebssystem nach ihren eigenen Wünschen spezifisch zu gestalten. Werfen Sie einen Blick auf unseren Beitrag „Android rooten: Vorteile, Nachteile und Probleme“, um zu erfahren, warum Sie am besten zweimal über das Rooten Ihres Geräts nachdenken sollten.

Einige schädliche Programme, sogenannte Rooting-Trojaner, können Root-Privilegien über Schwachstellen im Betriebssystem erhalten. Mit Superuser-Rechten können Cyberkriminelle dann Ihr Smartphone für ihre ganz persönlichen Zwecke konfigurieren. So können sie das Gerät beispielsweise dazu zwingen, Vollbild-Werbeanzeigen zu öffnen oder, ohne jegliche Benachrichtigung, Malware und Adware im Hintergrund installieren.

Ein beliebter Rooting-Malware-Trick ist das heimliche Löschen von auf dem Smartphone installierten Apps, die dann durch Phishing- oder malwareerweiterte Software ersetzt werden. Darüber hinaus können Superuser-Rechte verwendet werden, um zu verhindern, dass Nutzer die installierte Malware von ihrem Gerät entfernen. Kein Wunder, dass Rooting-Trojaner derzeit als gefährlichste Variante der mobilen Bedrohung gelten.

Modulare Trojaner

Modulare Trojaner sind Alleskönner und können verschiedene schädliche Aktionen, entweder gleichzeitig oder punktuell und der Situation entsprechend, ausführen. Eines der eindrucksvollsten Beispiele für einen solchen Trojaner ist Loapi, der erstmals Ende 2017 entdeckt wurde. Sobald sich der Trojaner auf das Gerät eines Opfers schleicht, gewährleistet er sofort seine eigene Sicherheit, indem er Administratorrechte einfordert – und ein bloßes „Nein“ akzeptiert der Trojaner nicht. Wenn die Anforderung der Rechte abgelehnt wird, erscheint das Dialogfenster immer wieder und verhindert so, dass das Smartphone uneingeschränkt genutzt werden kann. Wenn dem Trojaner die Administratorrechte allerdings erst einmal eingeräumt worden sind, ist es nahezu unmöglich, Loapi erneut von dem betroffenen Gerät zu entfernen.

Der Trojaner startet dann nach Belieben eines seiner fünf Module. Er kann Anzeigen schalten, den Nutzer über das Öffnen von bestimmten Links für zahlungspflichtige Abonnements anmelden, DDoS-Angriffe auf Befehl von einem Remote-Server ausführen und SMS-Nachrichten an Cyberkriminelle weiterleiten und sich dabei so gut verschleiern, dass der Nutzer keine der bösartigen Abwicklungen bemerkt.

Wenn sich der Trojaner nicht gerade mit einer dieser wichtigen Aufgaben beschäftigt, schürft er zudem heimlich Kryptowährung auf Ihre Kosten; meist dann, wenn das Smartphone an eine Steckdose oder eine externe Batterie angeschlossen ist. Mining ist ein komplexer Rechenprozess, der Energie und Ressourcen verbraucht, sodass der Smartphoneakku Ewigkeiten braucht, um geladen zu werden. Und genau das kann fatale Folgen haben: Unsere Experten haben herausgefunden, dass Loapi nur wenige Tage aktiv sein muss, um einen Smartphoneakku durch Überhitzung vollständig zu ruinieren.

So schützen sich vor der schlimmsten Variante der Android-Malware

Wie Sie in diesem Beitrag gesehen haben, können die Gefahren, die von RATs, Rooting-Trojanern und modularer Malware ausgehen, gravierend sein. Schützen Sie sich und Ihr Smartphone, indem Sie folgende Tipps befolgen:

  • Blockieren Sie zunächst die Installation von Apps aus unbekannten Quellen. Diese Option ist auf Android-Geräten standardmäßig deaktiviert und das sollte auch so bleiben. Zwar handelt es sich auch hierbei nicht um ein Universalheilmittel, aber zumindest können auf diese Weise die meisten Probleme, die mit mobilen Trojanern im Zusammenhang stehen, gelöst bzw. vermieden werden.
  • Laden Sie keine gehackten App-Versionen herunter. Viele von ihnen sind bereits infiziert.
  • Klicken Sie nicht auf Links, die Ihnen den Himmel auf Erden versprechen. WhatsApp-Angebote, die Ihnen kostenlose Flugtickets versprechen, sind in der Regel nur ein Versuch, Ihre persönlichen Daten zu stehlen, und bringen oftmals als kleinen Bonus schädliche Malware mit sich. Dasselbe gilt für Phishingversuche und Texte von „Freunden“ oder Fremden, die „Ist das dein Foto?“-Nachrichten enthalten.
  • Installieren Sie alle verfügbaren Android- und App-Updates unverzüglich. Updates patchen Sicherheitslücken, die Kriminelle ausnutzen können, um einen Blick auf den Inhalt Ihres Smartphones zu erhaschen.
  • Prüfen Sie, welche Berechtigungen Apps einfordern und verweigern Sie den Zugriff auf persönliche Informationen und potenziell gefährliche Funktionen.
  • Installieren Sie eine zuverlässige AV-Lösung auf Ihrem Smartphone. Kaspersky Internet Security for Android beispielsweise findet und entfernt nicht nur Trojaner, sondern blockiert zudem Webseiten, die Malware und hinterhältige Abo-Fallen enthalten.