Von Symbian zu Android

Mobile Malware wird zehn Jahre alt

Moritz Jäger ist freier Autor und Journalist in München. Ihn faszinieren besonders die Themen IT-Sicherheit, Mobile und die aufstrebende Maker-Kultur rund um 3D-Druck und selbst basteln. Wenn er nicht gerade für Computerwoche, TecChannel, Heise oder ZDNet.com schreibt, findet man ihn wahlweise versunken in den Tiefen des Internets, in einem der Biergärten seiner Heimatstadt München, mit einem guten (e-)Buch in der Hand oder auf Reisen durch die Weltgeschichte.
Nerviges Jubiläum – 2004 wurde der erste mobile Virus für Symbian in freier Wildbahn gefunden. Inzwischen ist vor allem Android im Visier der Angreifer.
Foto: fotolia.com/shockfactor

Mobile Malware ist inzwischen 10 Jahre alt. Wo zu Beginn etwa ein neuer Schädling pro Jahr gefunden wurde, sind es inzwischen 1300 bösartige Apps - pro Tag! Die Sicherheitsfirma Fortinet hat sich das Jubiläum zum Anlass genommen und den Aufstieg der Mobile Malware zu dokumentieren.

2004 wurde der erste digitale Schädling für Smartphones gefunden. Es handelte sich um den Cabir-Virus, der Handys von Nokia, genauer gesagt mit Symbian-Series-60-Betriebssystem, infizierte und dort das Wort "Caribe" auf dem Bildschirm anzeigte. Der Virus versucht sich anschließend über Bluetooth auf andere Geräte weiterzuverbreiten. Er richtete keinen wirklichen Schaden an, viele Forscher gingen daher von einem Proof-of-Concept aus.

10 Jahre mobile Malware
10 Jahre mobile Malware
Foto: Fortinet

2005: MMS als Verbreitungsweg

Ein Jahr später tauchte CommWarrior auf, eine Weiterentwicklung von Cabir. Neu war dass sich die Schadsoftware (die ebenfalls auf Symbian zielte) per Bluetooth und MMS verbreiten konnte. Die Malware war recht erfolgreich, einige Mobilfunkbetreiber gaben an, dass CommWarrior bis zu 3,5 Prozent ihres MMS-Verkehrs ausmachte. Aber: Auch hier ging es nur um die Verbreitung, auf Profit (abgesehen von dem der Carrier) war CommWarrior noch nicht ausgelegt.

2006: Geld her!

Das änderte sich in 2006 mit RedBrowser, einer Malware für alle Geräte mit J2ME. Es war der erste mobile Schädling, der Premium-SMS verschickte und so den Handy-Besitzer direkt schädigte. Im Durchschnitt kostete eine solche SMS 5 US-Dollar. Da er zudem auf Java aufsetzte, konnten die Macher deutlich mehr mobile Geräte ins Visier nehmen.

2007 bis 2008: Stagnation

In dieser zweijährigen Periode gab es laut Fortinet nur wenige neue Schädlinge und kaum Evolution bei der Malware. Die Malware orientierte sich am Vorbild von RedBrowser und verschickte in erster Linie Premium-SMS. Wichtig für später: Im Juni 2007 wurde das erste iPhone vorgestellt, im Oktober 2008 folgte das HTC G1, das erste Smartphone mit Android.

2009: Das erste mobile Botnet

In diesem Jahr gab es mit Yxes einen wahren Sprung in der Weiterentwicklung. Nicht nur hatte der Schädling es geschafft, als zertifizierte Anwendung durchzugehen, Als klassisches Botnet nahm Yxes nach der Infektion Kontakt zu einem zentralen Server auf und schickte das Adressbuch des Nutzers dorthin. Der Server versandte anschließend eine SMS mit einem Link zu einer infizierten Datei an alle Kontakte. Yxes war vor allem in Asien aktiv.

2010: Jetzt geht es richtig los

In diesem Jahr geschah der Wechsel von kleinen Gruppen hin zu organisierter Kriminalität - Malware-Autoren wurden professioneller, die Anzahl der Schädlinge wurden stieg deutlich an. Zudem wurde erstmal mit Zitmo eine mobile Variante einer PC-Malware (Zeus, einem Banking-Trojaner) entwickelt und in Umlauf gebracht. Mit Geinimi tauchte der erste Schädling für Android auf, infizierte Geräte wurden Teil eines Botnets. So war es den Kriminellen hinter Geinimi etwa möglich, die komplette Kontrolle über das Smartphone zu übernehmen.

Ab 2011: Android wird zum Lieblingsziel

Dank der offenen Grundlage und dem Markterfolg von Android verwandelte sich das Google-Betriebssystem zum Hauptziel der Angreifer. Ein Beispiel, das aus der Masse heraussticht ist DroidKungFu. Die Malware war extrem weit entwickelt und enthielt unter anderem eine Rooting-Funktion, mit der sie zahlreiche Sicherheitsfunktionen aushebeln konnte. Es gelang ihr zudem, den meisten Anti-Viren-Apps auszuweichen.

Eine andere Malware, die heute noch im App-Store aktiv ist, ist Plankton. Sie ist Teil vieler gefälschter populärer Apps und verhält sich enorm aggressiv. Sie zeigt etwa Werbung überall an, ändert die Homepage im Browser und fügt neue Verknüpfungen hinzu. "Die Zeiten, in denen mobile Malware hinter PC-Malware hinterherhinkte, sind definitiv vorbei", so Axelle Apvrille von Fortinet.

2013: Neue Angriffe

In diesem Jahr hatte FakeDefend seinen ersten Auftritt. Dieses Programm tarnt sich als Anti-Virus-Programm, sperrt aber das Smartphone und verlangt Geld, um die Daten wieder freizugeben. Damit hat es auch die Klasse der "Ransomware" den Sprung vom PC auf den mobilen Bereich geschafft. Auch wenn Opfer zahlten, half es wenig. Einzige ein Zurücksetzen des Smartphones konnte FakeDefend entfernen.

Außerdem kam es in 2013 zur ersten bekannt gewordenen gezielten Attacke auf Android-Nutzer: Die Malware Chuli attackierte Aktivisten, die sich für Menschenrechte und/oder Tibet einsetzen. Alle Daten (etwa Kontakte, SMS und Anrufdaten) der infizierten Systeme wurden auf einen entfernten Server geschickt.

Was kommt?

Fortinet gibt einen vorsichtigen Ausblick auf die Zukunft der mobilen Malware. So sieht das Unternehmen, das Mobile- und PC-Malware immer weiter zusammenwachsen werden - schließlich nähern sich diese Systeme seit Jahren an. Zudem geht es in beiden Bereichen darum, Geld zu machen - auf mobilen Systemen bieten sich hier aggressive Adware-Programme und Premium-SMS an. Als nächstes großes Ziel könnte das Internet of Things dienen. Bereits jetzt gibt es die ersten Hinweise darauf, etwa eine Spam-Kampagne, die von einem "intelligenten" Kühlschrank gestartet wurde. (CIO.de/mb)