Viren So schützen Sie Ihr Smartphone vor Trojanern

Trojaner können auf Smartphones fette Beute machen: Hier lassen sich Passwörter kopieren, SMS an teure Nummern versenden oder Online-Banking-TANs abfangen. Muss man zum Schutz Antivirenprogramme installieren? Das Fachmagazin c't Android gibt den Überblick.

Angriff: Kriminelle Banden haben es auf Android-Geräte abgesehen
Heise

Angriff: Kriminelle Banden haben es auf Android-Geräte abgesehen

Von Jürgen Schmidt


Schädlinge spionieren Smartphones aus, kopieren mTANs oder schicken heimlich Kurznachrichten an kostenpflichtige Dienste. Cyber-Gangs experimentieren mit Smartphone-Viren, um sich neue Geschäftsfelder zu erschließen. Und die Hersteller von Antiviren-Software tun ihr Möglichstes, diese neue Gefahr in den grellsten Farben zu präsentieren. Schließlich könnte der Markt für Smartphone-Virenschutz einmal die absehbar schrumpfenden Gewinne im Windows-Bereich kompensieren.

Zwischen diesen Fronten finden sich verunsicherte Anwender wieder. Muss man wirklich Antiviren-Programme auf Smartphones installieren? Natürlich muss man sich vor den neuen Gefahren schützen. Daran, ob dazu auf dem Handy ein Virenscanner das richtige Mittel ist, sind aber zumindest Zweifel angebracht. Hier die Hintergründe:

1. Android ist die Trojaner-Plattform schlechthin

Zunächst muss man zwischen den einzelnen Plattformen unterscheiden; die Gefahr ist nämlich keineswegs gleich verteilt. Das zentrale Ziel der Cyber-Gangs ist Android. Nahezu alle Schädlinge für Smartphones, die jetzt neu auftauchen, sind speziell für dieses Betriebssystem entwickelt und funktionieren auf anderen Plattformen nicht. Kaspersky etwa bilanziert, dass über 99 Prozent aller 2012 neu entdeckten Smartphone-Trojaner Android-Systeme als Ziel hatten. Es gibt also - abgesehen von ganz wenigen, weitgehend harmlosen Versuchsballons - praktisch keine Schädlinge für iPhones/iPads oder BlackBerry. Auch für Windows Phone 8 wurde (noch?) keine Malware gesichtet.

Dabei reden wir wohlgemerkt vom Äquivalent der Botnetz-Clients, Online-Banking- und BKA-Trojaner, die ganz eindeutig als Schad-Software einzuordnen sind und den Banden im Windows-Bereich Millionenumsätze bescheren.

Über die Gründe für die eindeutige Fokussierung der kriminellen Banden auf Android kann man viel spekulieren. Letztlich ausschlaggebend ist wohl - wie im Geschäftsleben - eine kühle Kosten/Nutzen-Abwägung: Wie kann man mit den existierenden Ressourcen seinen Gewinn mit möglichst wenig Risiko maximieren. Android hat den größten Marktanteil, die Plattform ist weitgehend offen, die Entwicklungswerkzeuge sind frei verfügbar und die Software-Vertriebswege wenig reglementiert.

Doch der entscheidende Faktor ist wohl die weitgehende Anonymität, die beim Entwickeln und Verteilen von Android-Apps möglich ist. Um etwa eine iPhone-App zu erstellen und unter die Leute zu bringen, muss man gegenüber Apple seine Identität preisgeben. Der Aufwand, die dazu erforderliche Kommunikation und Daten so zu fälschen, dass sie garantiert nicht zurückzuverfolgen sind, ist beträchtlich. Und wenn eine App als Trojaner aufgeflogen ist, ist diese Identität natürlich damit auch verbrannt, und man müsste wieder von vorn anfangen. Angesichts der Tatsache, dass typische Schädlinge in Hunderten Varianten unters Volk gebracht werden müssen, ist dies kaum praktikabel.

2. Die Android-Sicherheitslücken

Viele Android-Geräte haben klaffende Sicherheitslücken, und in vielen Fällen ist es dem Anwender nicht einmal möglich, Sicherheits-Updates zu installieren, weil sein Hersteller keine anbietet. Laut Zahlen aus dem Februar 2014 läuft nur auf etwa 1,8 Prozent aller Geräte das aktuelle Android 4.4 KitKat.

Dafür nutzt noch jedes fünfte System die Version 2.3 Gingerbread, die bekannte Sicherheitslücken aufweist, aber keine Updates mehr enthält. Doch bislang werden solche Lücken nicht ausgenutzt, um Smartphones zu infizieren.

3. Der Anwender muss Trojanern helfen

So gut wie alle Smartphone-Schädlinge benötigen die Mithilfe des Anwenders, um auf das Gerät zu gelangen. Sie geben sich dabei gerne als nützliche Programme oder Spiele aus; oft sind es sogar Kopien echter Apps, die mit heimlichen Zusatzfunktionen versehen wurden. Eine besonders heimtückische Variante kommt als Sicherheits- beziehungsweise Zertifikats-Update einer Bank daher.

Das Opfer erhält dabei eine Mail oder auch eine SMS mit einer Benachrichtigung, dass es sein Online-Banking jetzt "noch sicherer" gestalten könne. Dazu müsse es neue Zertifikate installieren. Öffnet der in manchen Fällen sogar mit richtigem Namen angesprochene Adressat den anschließenden Link auf seinem Handy, wird ihm eine App zur Installation präsentiert. Stimmt er dem zu, liest die App zukünftig all seine SMS-Nachrichten mit. Sie greift sich dabei speziell diejenigen mit mobilen TANs heraus, um sie an die Betrüger weiterzuleiten.

4. Die Trojaner-Geschäftsmodelle

Ist der Trojaner einmal installiert und auf dem Zielgerät aktiv, nutzt er unter Umständen durchaus bekannte Sicherheitslücken der vorgefundenen Android-Version aus. Damit verschafft er sich dann beispielsweise erweiterte Rechte - etwa zum Zugriff auf bestimmte Ressourcen wie das Netzwerk oder die Adressdatenbank. Das geht hin bis zum kompletten Ausbruch aus der Sandbox, in der Apps normalerweise laufen, und sogar dem vollen Root-Zugriff, der alle Einschränkungen aufhebt.

Um sich richtig zu schützen, ist es wichtig, die Motivation der Angreifer zu verstehen: Sie wollen Geld verdienen. Das mit großem Abstand erfolgreichste Geschäftsmodell für Smartphone-Trojaner ist derzeit der SMS-Betrug. Dabei verschickt ein scheinbar harmloses Spiel im Hintergrund SMS-Nachrichten an meist im nichteuropäischen Ausland angesiedelte Premium- oder Abo-Dienste, deren Kosten dann direkt mit der Mobilfunkrechnung des Opfers eingezogen werden. Das Konzept ähnelt den früher weitverbreiteten Dialern der Windows-Welt. Man kann sich recht einfach dagegen absichern, indem man beim Mobilfunk-Provider diese SMS-Dienste sperren lässt.

Natürlich kopieren Smartphone-Trojaner auch Adressdaten und andere persönliche Informationen. Aber die sind anderweitig in so großer Zahl verfügbar, dass die damit noch zu erzielenden Preise den Aufwand nicht lohnen. Womit man allerdings in nicht allzu ferner Zukunft rechnen muss, sind mobile Versionen von Erpresser-Software wie dem sogenannten BKA-Trojaner. Der sperrt etwa mit dem - natürlich frei erfundenen - Vorwurf, Kinderpornografie auf dem PC entdeckt zu haben, den Zugang zu Windows und fordert teilweise mehrere hundert Euro "Bußgeld" für den Erlass einer Bestrafung und die Freischaltung des Windows-Systems. Viele verunsicherte Anwender bezahlen.

Das Geld ist dann natürlich weg und der Rechner weiter infiziert. Dieses äußerst lukrative Geschäftsmodell lässt sich vergleichsweise einfach auf Smartphones übertragen, wenn der Trojaner dessen Sicherheitsmechanismen aushebeln kann. Es ist fast schon erstaunlich, dass bislang nur wenige Fälle von derart gesperrten Smartphones bekannt wurden.

5. Viele Schädlinge kommen aus unabhängigen App Stores

Die überwiegende Mehrzahl der Schädlinge wird über unabhängige App Stores verteilt; viele davon sind in Asien angesiedelt und bieten vor allem lokale Software an, die im deutschsprachigen Raum keine Chance auf Verbreitung hat. Alternativ werden Apps auf ganz normalen Web-Servern platziert und wie beim mTAN-Trojaner mit Links in E-Mails und SMS-Nachrichten verbreitet. Nur in wenigen Ausnahmefällen schafft es ein Trojaner über Google Play, den offiziellen Android Appstore, Verbreitung zu finden.

6. Trojaner-Statistiken richtig interpretieren

Die Hersteller von Antiviren-Software zeigen gern eindrucksvolle Kurven mit exponentiellem Wachstum bei der Anzahl der Schädlinge. Sie reden dann von mehr als zehntausend neuen Malware-Exemplaren, die im letzten Jahr gefunden wurden. Um das in die richtige Relation zu setzen: Das entspricht bei Windows-Viren der Situation in den frühen neunziger Jahren und liegt unterhalb dessen, was heute an einem einzigen Tag in den Labors der AV-Hersteller ankommt.

Solche Zahlen sind außerdem grob irreführend, weil sie auf die sogenannten Unique Samples abheben. Dabei wird jedes Malware-Exemplar neu gezählt, auch wenn es nur minimale Veränderungen, aber keinerlei neue Funktionen aufweist. Und solche Modifikationen werden tatsächlich in großer Zahl vorgenommen - unter anderem, um AV-Software zu entgehen; dazu gleich mehr.

Realistischer ist es, die Zahl der Schädlingsfamilien zu betrachten, deren Mitglieder weitgehend gleich sind. Da findet dann etwa Eset, dass deren Zahl 2012 von 52 auf 56 angestiegen ist - was schon weit weniger bedrohlich klingt. Je nach Sortierverfahren sind das auch mal ein wenig mehr, aber insgesamt dürften derzeit kaum mehr als wenige hundert wirklich verschiedene Smartphone-Trojaner unterwegs sein - und die Mehrzahl davon im asiatischen und russischen Raum. Bei Windows käme man eher auf Hunderttausende deutlich unterscheidbarer Schädlinge.

7. Niedrige Erkennungsquoten bei neuen Schädlingen

Diverse Testlabore bescheinigen Antiviren-Software eine beeindruckende Effizienz beim Entdecken dieser Trojaner. Erkennungsquoten deutlich über 90 Prozent sind eher die Regel als die Ausnahme. Das Problem ist, dass diese Tests mit Samples durchgeführt werden, die bereits seit Wochen in der Szene getauscht wurden und in freier Wildbahn zu diesem Zeitpunkt ohnehin durch neue Variationen ersetzt wurden. Sie stellen somit eine eher theoretische Gefahr dar, die im Übrigen auch jeder halbwegs seriöse Appstore-Betreiber zu dem Zeitpunkt längst aus seinem Sortiment entfernt hat.

2013 kamen zwei Studien unabhängig voneinander zu dem Ergebnis, dass sich AV-Software für Smartphones sehr häufig schon durch minimale Änderungen an den Installationspaketen austricksen lässt. Das liegt daran, dass die meisten AV-Programme nur mit sehr einfachen Signaturen arbeiten. Sofern überhaupt eine unscharfe Erkennung mit Heuristiken zum Einsatz kommt, ist diese ebenfalls eher einfach gestrickt. Die Untersuchungen bestätigen unsere bei Stichproben gewonnene Erkenntnis, dass die Erkennungsraten bei neuen Schädlingen nahe null liegen.

8. SMS-Dienste sperren!

Wer sich Sorgen vor einer Infektion seines Android-Handys macht, sollte bei seinem Mobilfunk-Provider die Nutzung von kostenpflichtigen SMS-Diensten sperren lassen. Damit hat er die größte reale Gefahr bereits gebannt.

Darüber hinaus sollte man auf die "Installation von Software aus unbekannten Quellen" verzichten und sich auf den voreingestellten Android-Appstore - also meistens Google Play - beschränken. Mit dieser Voreinstellung ist etwa die Installation der via SMS oder E-Mail angepriesenen trojanischen Sicherheits- oder Zertifikats-Updates gar nicht möglich. Wer das sogenannte Sideloading aktiviert, gewinnt etwas Unabhängigkeit, vervielfacht aber auch sein Risiko.

Wenn man möchte, kann man durchaus Antiviren-Software für Android selbst ausprobieren. Die meisten gibt es kostenlos; da sie jeweils nur bei der Installation eines neuen Software-Pakets aktiv werden, steht auch nicht zu befürchten, dass sie sich negativ auf die Laufzeit auswirken.

Besonders interessant sind die Programme von Lookout, einem Hersteller, der sich auf Antiviren-Software für Smartphones spezialisiert hat, und von Eset, das in der Fraunhofer-Studie bereits Ansätze von Heuristik zeigt.

Gefunden in

Forum - Diskutieren Sie über diesen Artikel
insgesamt 50 Beiträge
Alle Kommentare öffnen
Seite 1
resomax 09.02.2014
1. Android...
Android ist das neue Windows: ohne Anti-Schadsoftware agiert man grob fahrlässig! Was für eine (Pseudo)Freiheit!
M. Michaelis 09.02.2014
2.
Die Überschrift müsste eigentlich "So schützen Sie ihr Android-Smartphone vor Trojanern". Die iOS Geräte sind hier auch ohne zusätzliche Schutzvorkehrungen sehr viel sicherer. Android hingegen ist in Sachen Sicherheit das Windows der Smartphones, weit verbreitet und ziemlich unsicher.
flexier 09.02.2014
3. Vielleicht mal wieder ein Blackberry?!!!!
man muss nur das richtige Handy haben, dann klappt's auch mit Sicherheit.
beatrock63 09.02.2014
4.
Schön, dass die Links am Ende des Artikels nicht zu Virenscanner Apps führen, sondern ins Leere bzw. einer alten Version des Programms mit Link auf eine wenig vertrauenswürdig erscheinenden Website. Und schon lädt man von irgendeinem Drittanbieter Fragwürdiges herunter. Kann ja nicht schlimm sein. Kommt ja von SPON.
viertelsteinhoch2 09.02.2014
5. Super Artikel mal wieder .....
...beide Links im letzten Absatz führen ins Nichts :-)
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.