Die Smartphone-Zombies kommen

Mobile Botnets erkennen und abwehren

29.07.2013
Von 
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Smartphones werden gekapert und zu kriminellen Zwecken missbraucht. Die mobilen Botnets können noch gefährlicher sein als klassische Zombie-PCs.

Mobilmachung der Botnets

G Data SecurityLabs verzeichnete in der zweiten Jahreshälfte 2012 fast 140.000 neue mobile Schaddateien.
G Data SecurityLabs verzeichnete in der zweiten Jahreshälfte 2012 fast 140.000 neue mobile Schaddateien.
Foto: G Data

Der Bericht "Threat Landscape" von ENISA (European Network and Information Security Agency) sieht für mobile Endgeräte eine Reihe von Bedrohungen, die in den nächsten Monaten und Jahren zunehmen werden.

Zu den aktuell größten Gefahren zählen Botnets - also ferngesteuerte Computer, die ohne Wissen ihrer Besitzer Teil krimineller Machenschaften werden und zum Beispiel im Auftrag der Angreifer Spam versenden.

Inzwischen werden aber nicht nur PCs oder Notebooks in die Netze der Spammer und Datendiebe gezogen, sondern auch Smartphones und Tablets - mit steigender Tendenz. Mobile Botnets gehören deshalb auf die Agenda der Datensicherheit.

Was mobile Botnets kennzeichnet

Mobile Botnets haben einiges mit den PC-Botnets gemeinsam, weisen aber auch besonders kritische Eigenschaften auf.

Typisch für alle Botnets ist:

  • Sie bestehen aus mehreren gekaperten Endgeräten (Bots oder Zombies genannt), die von einem Angreifer über C&C-Server (Command-and-Control-Server) ferngesteuert werden.

  • Die Bots kommunizieren mit dem Angreifer, Bot-Master genannt.

  • Sie können verschiedene Aufgaben für den Bot-Master ausführen, zum Beispiel ohne Wissen des Opfers Spam verschicken, Malware verteilen oder Daten sammeln.

  • Botnets werden an andere Kriminelle vermietet und erledigen Auftragsarbeiten, für die der Bot-Master kassiert.

Das macht mobile Botnets zur besonderen Gefahr:

  • Mobile Endgeräte sind fast dauerhaft mit dem Internet verbunden (kostengünstige Daten-Flatrates) und für den Bot-Master nahezu rund um die Uhr erreichbar.

  • Smartphones werden häufig betrieblich und privat genutzt - also auch nach Feierabend, im Gegensatz zum Büro-PC.

  • Smartphone-Apps werden häufig ohne Kontrolle eines Administrators installiert und führen zu zusätzlichen Schwachstellen.

  • Die Smartphone-Sicherheit ist immer noch geringer ausgeprägt als die PC-Sicherheit. Deshalb können Smartphones leichter infiziert und gekapert werden.

  • Die Datenverbindungen von Smartphones werden oftmals nicht ausreichend überwacht, so dass die Kommunikation mit dem Bot-Master eher unentdeckt bleibt.

  • Smartphones verfügen über eine Vielzahl an Schnittstellen, Apps und Funktionen, die der Bot-Master zu seinen Zwecken missbrauchen kann. Sie sind kommunikativer als PCs und deshalb "ansteckender".

  • Smartphones werden zum zentralen Datenspeicher ihrer Nutzer und bieten so mehr Potenzial für Datendiebe.

  • Verschiedene Anti-Botnet-Tools sind bislang nur für Desktop-Systeme, nicht aber für mobile Endgeräte nutzbar.

Spamming ist nicht alles

Mobile Botnets können weitaus mehr als Spam zu versenden. Forscher der Chinese Academy of Sciences zeigten am Beispiel Andbot, was ein Botnet auf Basis von Android-Smartphones im Bereich SMS leisten kann.

Zu den Funktionen gehören unter anderem die Kontaktaufnahme zum Bot-Master über Web, E-Mail und SMS, die Generierung von Phishing-Nachrichten, das Auslesen und heimliche Weiterleiten eingehender SMS und das Blockieren bestimmter, eingehender SMS-Nachrichten. Dadurch lassen sich beispielsweise Warnungen Dritter verhindern, die das Opfer über entdeckte Spam-SMS informieren wollen.

Mobile Botnets sind schon Realität

Während "Andbot" noch eine wissenschaftliche Studie war, wurde inzwischen eine Reihe von mobilen Botnets entdeckt, die jeweils eine reale Bedrohung darstellten.

Interessant sind dabei auch die Angriffswege: Ein mobiles Botnet verbreitete sich zum Beispiel beim Herunterladen einer manipulierten Security-App namens Android Market Security Tool. Nach der Infektion sollten die befallenen Smartphones auf Kommando bestimmte SMS-Nachrichten versenden.

Eine andere angebliche Sicherheitslösung "Android Security Suite Premium", die im Juni 2012 entdeckt wurde, zeigt, wie umfangreich die Funktionen sind, die ein mobiles Botnet missbrauchen kann. Darunter befinden sich der Zugriff auf externe Speicher, das Überwachen mobiler Telefonate, das Deaktivieren der Smartphone-Tastatur oder die Änderung der Smartphone-Konfigurationseinstellungen.

Smartphones als Teil eines mobilen Botnets werden ferngesteuert und zu kriminellen Zwecken missbraucht. Über mobile Angriffsszenarien berichtete unter anderem McAfee.
Smartphones als Teil eines mobilen Botnets werden ferngesteuert und zu kriminellen Zwecken missbraucht. Über mobile Angriffsszenarien berichtete unter anderem McAfee.
Foto: McAfee

Wie sich mit einem mobilen Botnet Geld verdienen lässt, zeigte Android.Bmaster (RootStrap-Botnet). Die verseuchten Smartphones sorgten für Umsatz bei den Angreifern, indem ohne Zutun der Opfer kostenpflichtige Premium-SMS-Dienste, Telefonie- und Videoservices genutzt wurden. Zudem spionierten die Bots gerätespezifische Daten aus, mit denen sich Smartphones identifizieren lassen. Über die eindeutigen Gerätekennzeichen wird zum Beispiel ein Tracking mobiler Internetnutzer möglich, also ein Nachverfolgen der Nutzeraktivitäten im Internet. Solche Informationen lassen sich leicht zu Geld machen.

Sicherheitsforscher haben sogar Werbung für Entwicklungskits entdeckt, mit denen sich Trojaner für den Aufbau mobiler Botnets erstellen lassen. Die entsprechenden Botnets haben die Aufgabe, SMS abzufangen und weiterzuleiten.

Wird ein infiziertes Smartphone für den Empfang von Einmal-Passwörtern über SMS genutzt, könnte der Botnet-Betreiber versuchen, die zugehörige Zwei-Faktor-Authentifizierung zu überwinden. Bezahllösungen im Internet oder Online-Banking-Lösungen könnten davon betroffen sein.

Botnet aus einer Million Smartphones

Wie umfangreich und damit leistungsstark mobile Botnets werden können, zeigt unter anderem das zuvor erwähnte Bmaster-Botnet RootStrap. Sicherheitsforscher gaben hierfür eine Zahl von mehr als Hunderttausend Zombie-Smartphones an, die sich fernsteuern und missbrauchen ließen.

Schätzungen gehen davon aus, dass sich mit einem solchen mobilen Botnet für den Bot-Master bis zu 3,2 Millionen US-Dollar im Jahr verdienen lassen.

Mit einer Million infizierten Smartphones stellt ein anderes mobiles Botnet gegenwärtig einen Rekord auf. Trend Micro und Symantec berichteten darüber erst im Januar.

Mobile Botnets bleiben präsent

Sicherheitsanbieter wie G Data und Cloudmark erwarten, dass Schadprogramme für Android-Smartphones für ein weiteres Wachstum der mobilen Botnets sorgen.

Mobile Sicherheitslösungen auf Smartphones können nicht nur zur Malware-Erkennung, sondern auch zur Blockade von SMS unbekannter Absender genutzt werden.
Mobile Sicherheitslösungen auf Smartphones können nicht nur zur Malware-Erkennung, sondern auch zur Blockade von SMS unbekannter Absender genutzt werden.
Foto: Kaspersky

Davon können sogar PCs betroffen sein. So berichtete Kaspersky Labs von einem mobilen Bot, das nicht nur das befallene Smartphone ausspioniert. Wird das infizierte Smartphone mit einem PC verbunden, startet ein Download von Schadsoftware auf dem Desktop-Rechner. Von dem Android-Smartphone selbst werden unter anderem SMS, Fotos, GPS-Koordinaten und der gesamte Inhalt der Speicherkarte an den Bot-Master übertragen.

McAfee berichtete in "Mobile Security: McAfee Consumer Trends Report" von Schwarzmarkt-Angeboten, die es einer breiten Masse von Internetkriminellen ermöglichen könnten, selbst mobile Botnets zu betreiben.

Gerade Nutzer von Android-Smartphones und -Tablets sollten also die Gefahren durch mobile Botnets sehr ernst nehmen und für entsprechende Schutzmaßnahmen sorgen.