Mobile Botnets erkennen und abwehren

Mobilmachung der Botnets

Der Bericht "Threat Landscape" von ENISA (European Network and Information Security Agency) sieht für mobile Endgeräte eine Reihe von Bedrohungen, die in den nächsten Monaten und Jahren zunehmen werden.

Zu den aktuell größten Gefahren zählen Botnets - also ferngesteuerte Computer, die ohne Wissen ihrer Besitzer Teil krimineller Machenschaften werden und zum Beispiel im Auftrag der Angreifer Spam versenden.

Inzwischen werden aber nicht nur PCs oder Notebooks in die Netze der Spammer und Datendiebe gezogen, sondern auch Smartphones und Tablets - mit steigender Tendenz. Mobile Botnets gehören deshalb auf die Agenda der Datensicherheit.

Was mobile Botnets kennzeichnet

Mobile Botnets haben einiges mit den PC-Botnets gemeinsam, weisen aber auch besonders kritische Eigenschaften auf.

Typisch für alle Botnets ist:

• Sie bestehen aus mehreren gekaperten Endgeräten (Bots oder Zombies genannt), die von einem Angreifer über C&C-Server (Command-and-Control-Server) ferngesteuert werden.

• Die Bots kommunizieren mit dem Angreifer, Bot-Master genannt.

• Sie können verschiedene Aufgaben für den Bot-Master ausführen, zum Beispiel ohne Wissen des Opfers Spam verschicken, Malware verteilen oder Daten sammeln.

• Botnets werden an andere Kriminelle vermietet und erledigen Auftragsarbeiten, für die der Bot-Master kassiert.

Das macht mobile Botnets zur besonderen Gefahr:

• Mobile Endgeräte sind fast dauerhaft mit dem Internet verbunden (kostengünstige Daten-Flatrates) und für den Bot-Master nahezu rund um die Uhr erreichbar.

• Smartphones werden häufig betrieblich und privat genutzt - also auch nach Feierabend, im Gegensatz zum Büro-PC.

• Smartphone-Apps werden häufig ohne Kontrolle eines Administrators installiert und führen zu zusätzlichen Schwachstellen.

• Die Smartphone-Sicherheit ist immer noch geringer ausgeprägt als die PC-Sicherheit. Deshalb können Smartphones leichter infiziert und gekapert werden.

• Die Datenverbindungen von Smartphones werden oftmals nicht ausreichend überwacht, so dass die Kommunikation mit dem Bot-Master eher unentdeckt bleibt.

• Smartphones verfügen über eine Vielzahl an Schnittstellen, Apps und Funktionen, die der Bot-Master zu seinen Zwecken missbrauchen kann. Sie sind kommunikativer als PCs und deshalb "ansteckender".

• Smartphones werden zum zentralen Datenspeicher ihrer Nutzer und bieten so mehr Potenzial für Datendiebe.

• Verschiedene Anti-Botnet-Tools sind bislang nur für Desktop-Systeme, nicht aber für mobile Endgeräte nutzbar.

Spamming ist nicht alles

Mobile Botnets können weitaus mehr als Spam zu versenden. Forscher der Chinese Academy of Sciences zeigten am Beispiel Andbot, was ein Botnet auf Basis von Android-Smartphones im Bereich SMS leisten kann.

Zu den Funktionen gehören unter anderem die Kontaktaufnahme zum Bot-Master über Web, E-Mail und SMS, die Generierung von Phishing-Nachrichten, das Auslesen und heimliche Weiterleiten eingehender SMS und das Blockieren bestimmter, eingehender SMS-Nachrichten. Dadurch lassen sich beispielsweise Warnungen Dritter verhindern, die das Opfer über entdeckte Spam-SMS informieren wollen.

Mobile Botnets sind schon Realität

Während "Andbot" noch eine wissenschaftliche Studie war, wurde inzwischen eine Reihe von mobilen Botnets entdeckt, die jeweils eine reale Bedrohung darstellten.

Interessant sind dabei auch die Angriffswege: Ein mobiles Botnet verbreitete sich zum Beispiel beim Herunterladen einer manipulierten Security-App namens Android Market Security Tool. Nach der Infektion sollten die befallenen Smartphones auf Kommando bestimmte SMS-Nachrichten versenden.

Eine andere angebliche Sicherheitslösung "Android Security Suite Premium", die im Juni 2012 entdeckt wurde, zeigt, wie umfangreich die Funktionen sind, die ein mobiles Botnet missbrauchen kann. Darunter befinden sich der Zugriff auf externe Speicher, das Überwachen mobiler Telefonate, das Deaktivieren der Smartphone-Tastatur oder die Änderung der Smartphone-Konfigurationseinstellungen.

Wie sich mit einem mobilen Botnet Geld verdienen lässt, zeigte Android.Bmaster (RootStrap-Botnet). Die verseuchten Smartphones sorgten für Umsatz bei den Angreifern, indem ohne Zutun der Opfer kostenpflichtige Premium-SMS-Dienste, Telefonie- und Videoservices genutzt wurden. Zudem spionierten die Bots gerätespezifische Daten aus, mit denen sich Smartphones identifizieren lassen. Über die eindeutigen Gerätekennzeichen wird zum Beispiel ein Tracking mobiler Internetnutzer möglich, also ein Nachverfolgen der Nutzeraktivitäten im Internet. Solche Informationen lassen sich leicht zu Geld machen.

Sicherheitsforscher haben sogar Werbung für Entwicklungskits entdeckt, mit denen sich Trojaner für den Aufbau mobiler Botnets erstellen lassen. Die entsprechenden Botnets haben die Aufgabe, SMS abzufangen und weiterzuleiten.

Wird ein infiziertes Smartphone für den Empfang von Einmal-Passwörtern über SMS genutzt, könnte der Botnet-Betreiber versuchen, die zugehörige Zwei-Faktor-Authentifizierung zu überwinden. Bezahllösungen im Internet oder Online-Banking-Lösungen könnten davon betroffen sein.

Botnet aus einer Million Smartphones

Wie umfangreich und damit leistungsstark mobile Botnets werden können, zeigt unter anderem das zuvor erwähnte Bmaster-Botnet RootStrap. Sicherheitsforscher gaben hierfür eine Zahl von mehr als Hunderttausend Zombie-Smartphones an, die sich fernsteuern und missbrauchen ließen.

Schätzungen gehen davon aus, dass sich mit einem solchen mobilen Botnet für den Bot-Master bis zu 3,2 Millionen US-Dollar im Jahr verdienen lassen.

Mit einer Million infizierten Smartphones stellt ein anderes mobiles Botnet gegenwärtig einen Rekord auf. Trend Micro und Symantec berichteten darüber erst im Januar.

Mobile Botnets bleiben präsent

Sicherheitsanbieter wie G Data und Cloudmark erwarten, dass Schadprogramme für Android-Smartphones für ein weiteres Wachstum der mobilen Botnets sorgen.

Davon können sogar PCs betroffen sein. So berichtete Kaspersky Labs von einem mobilen Bot, das nicht nur das befallene Smartphone ausspioniert. Wird das infizierte Smartphone mit einem PC verbunden, startet ein Download von Schadsoftware auf dem Desktop-Rechner. Von dem Android-Smartphone selbst werden unter anderem SMS, Fotos, GPS-Koordinaten und der gesamte Inhalt der Speicherkarte an den Bot-Master übertragen.

McAfee berichtete in "Mobile Security: McAfee Consumer Trends Report" von Schwarzmarkt-Angeboten, die es einer breiten Masse von Internetkriminellen ermöglichen könnten, selbst mobile Botnets zu betreiben.

Gerade Nutzer von Android-Smartphones und -Tablets sollten also die Gefahren durch mobile Botnets sehr ernst nehmen und für entsprechende Schutzmaßnahmen sorgen.

Verhaltensmaßnahmen gegen Bot-Infektionen

Sicherheitsmaßnahmen zur Abwehr mobiler Botnets sollten dort ansetzen, wo die Bot-Infektion beginnt - beim Smartphone-Nutzer:

• Viele Bot-Infektionen starten mit dem Herunterladen einer verseuchten App.

• Die meisten Trojaner-Apps lauern in einem der Drittanbieter-Appstores.

• Jede neue App sollte deshalb vor Installation und Verwendung überprüft werden und nur aus intern freigegebenen Quellen stammen.

• Mobile Betriebssysteme und Apps sollten regelmäßig aktualisiert werden, sofern Updates verfügbar sind.

• Auch auf Smartphones und Tablets sollte Vorsicht walten, wenn in E-Mails Links auftauchen, die der Nutzer anklicken soll.

• Werden zum Beispiel kostenlose Spiele als Download angeboten, kann sich dahinter eine Botnet-Attacke verstecken. Das Beispiel SpamSoldier zeigt, wie Smartphones durch eine angebliche Spiele-App zu Bots und Spamversendern werden.

• Vertrauliche Daten sollten verschlüsselt werden, am besten aber überhaupt nicht auf dem Smartphone gespeichert werden.

• Die Smartphone-Apps sollten (datenschutzgerecht) mit einem Mobile Device Manager (MDM) überwacht werden, um ungewöhnliche Aktivitäten feststellen zu können.

• Es bringt meist wenig, die SMS-Listen darauf zu prüfen, ob Nachrichten auftauchen, die man nicht selbst verschickt hat. Mobile Botnets verstecken oder löschen ihre SMS.

Sicherheitslösungen gegen mobile Zombies

Neben dem sicherheitsbewussten Verhalten der Smartphone-Nutzer ist der Einsatz einer professionellen Sicherheitslösung wichtig. Doch während sich die Angreifer inzwischen verstärkt den mobilen Botnets widmen, sind verschiedene Anti-Bot-Lösungen nur für den PC-Bereich und hier insbesondere nur für Windows-PCs verfügbar. Das gilt zum Beispiel für DE-Cleaner des Anti-Botnet-Beratungszentrums, die es nur für Windows gibt.

Spezielle Sicherheitslösungen für mobile Endgeräte können gegen Bot-Infektionen helfen - vorausgesetzt, sie werden regelmäßig aktualisiert. Beispiele für solche Lösungen sind BullGuard Mobile Security, Symantec Mobile Security, Lookout Mobile Security oder Kaspersky Mobile Security.

Zusätzlich sollte der Datenverkehr der mobilen Endgeräte überwacht und auf ungewöhnliche Aktivitäten hin untersucht werden, zum Beispiel mit der McAfee Network Security Platform, Palo Alto PA-5000 Serie, Check Point Anti-Bot Software Blade, Arbor Peakflow X und Cisco ASA 5500 Series. Diese Monitoring-Werkzeuge weisen spezielle Analysefunktionen auf, um mögliche Aktivitäten von Botnets aufzuspüren.

Entscheidend ist, dass Botnets immer als plattformübergreifende Gefahr verstanden werden, sowohl seitens der Sicherheitslösungen als auch seitens der Nutzer. (sh)