Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Zielgruppenspezifische Malware und Adware

Nach jahrelangem Anpassen und Ändern von Codes sowie der Vorgehensweise, wurden 2013 bestimmte Entwicklungsmuster in der Branche erkennbar. Um "wettbewerbsfähig" zu bleiben und den Behörden sowie Sicherheitsunternehmen eine möglichst geringe Angriffsfläche zu bieten, haben Kriminelle damit begonnen, sich zu spezialisieren. Vorschriften variieren von Land zu Land: Ein kriminelles Vorgehen, das in einem Teil der Erde hochprofitabel und schwer zu belangen ist, kann in einem anderen Land explizit verboten und rechtlich einfach zu verfolgen sein. Diese Unterschiede sorgen dafür, dass Malware-Entwickler sich weiterentwickeln und sich an ihren Marktplatz anpassen - vergleichbar mit Tierarten, die sich an ihre Umgebung anpassen, um überlebensfähig zu sein.

 

Im Gegensatz zu Ländern wie Russland, China und anderen Teilen Asiens herrschen in westeuropäischen Ländern klare Vorschriften, mit denen Premium-SMS-Betrug bekämpft wird. Dies zwingt Kriminelle in Westeuropa, andere Methoden anzuwenden. "Chargeware", mit der seriöse Premium-SMS-Dienste erweitert werden, sind in Westeuropa beispielsweise eine vorrangige Vorgehensweise. Chargeware besteht typischerweise aus anzüglichen Abonnement-Apps, gespickt mit pornografischen Inhalten: Diese Anwendungen sind extra unverständlich ausformuliert, wenn es um anfallende Gebühren geht. Daraus folgt, dass Nutzer eine häufig unwissentlich höhere Rechnung bekommen oder das Abonnement nur schwer kündigen können. Im vergangenen Jahr wurden viele Tausende Nutzer von der Lookout-App über diese Art von Anwendungen gewarnt (in Frankreich lag die Erkennungsrate bei 13 Prozent und in Großbritannien bei 20 Prozent). SMSCapers, eine der erfolgreichen Chargeware-Kampagnen, hat Ende 2012 erstmals den Markt überschwemmt - vorwiegend in Frankreich und Großbritannien - und Opfer mit anzüglichen Fotos und einem kaum verständlichen Endbenutzer-Lizenzvereinbarung geködert.

 

Adware sind aggressive Werbenetzwerke und bestehen aus häufig bösartigen Werbe-SDKs (Software Development Kits), die in einer gewöhnlichen Anwendung integriert sind. Der Entwickler erhält für die Einbindung von Werbung eine finanzielle Entlohnung. Im Gegensatz zu harmlosen Werbeanzeigen, von denen das gesamte Ökosystem profitiert und durch die Entwickler ihre Arbeit monetarisieren können, nutzt Adware den Vorteil dieser Beziehung aus, indem persönliche Daten gestohlen werden und die Nutzung der Anwendung häufig durch störende Werbeanzeigen unterbrochen wird. Da Adware sich ohne Überwachung verbreiten kann, hat sie 2013 weltweit einen Höhepunkt erreicht. Die Wahrscheinlichkeit, auf Adware zu stoßen, ist fünfmal höher als bei Malware. Die Grenze zwischen diesen beiden Formen ist jedoch häufig nur schwer zu ziehen. Im Juni 2013 haben wir Richtlinien veröffentlicht, mit einer engeren Definition von Adware und was diese ausmacht. Wir haben damals empfohlen, entsprechende Netzwerke dem Nutzer als feindselig zu kennzeichnen. Im September hat Google die Nutzungsbedingungen des Play Store aktualisiert und 36.000 Apps aussortiert, die Ad-Netzwerke enthielten, die gegen die Vorschriften verstießen.

 

Im dritten Quartal 2013 begann der Niedergang von Adware. Kurz vor Jahreswechsel aktualisierten die größten betroffenen Betreiber, LeadBolt und RevMob, ihre Werbe-SDKs, um den neuen Richtlinien zu entsprechen und viel weniger aufdringlich zu sein.

 

Viele Werbe-SDKs werden entwickelt, ohne den Schutz der Privatsphäre als Priorität zu behandeln. Sie übertragen gesammelte Daten, ohne sie beispielsweise durch Verschlüsselung zu schützen. Dies hat zur Folge, dass diese häufig sensiblen Daten durch Dritte abgefangen werden können, die zum richtigen Zeitpunkt am richtigen Ort sind. Diese Daten können dann verwendet werden, um den ursprünglichen Eigentümer zu tracken oder durch Betrugsversuche Geld aus der Tasche zu ziehen.

 

Da unsere privaten Smartphones und Tablets heutzutage zunehmend am Arbeitsplatz verwendet werden und wir einen beispiellosen Zugriff auf wertvolle Daten haben, ist es wichtiger als je zuvor, Werbenetzwerke zu kontrollieren. Dafür zu sorgen, dass die Werbemethoden von Anfang an auf Privatsphäre und Sicherheit ausgerichtet sind, ist die einzige Möglichkeit, wie Kriminelle davon abgehalten werden können, sich an die neue Umgebung anzupassen.

 

Die Sicherheitsexperten von Lookout betonen immer wieder, dass das Risiko, auf Schadsoftware zu treffen, im hohen Maße vom Verhalten der Nutzer abhängt. Sobald einmal die Tür zu einer Infektion geöffnet ist, besteht ein erhöhtes Risiko, sich einen weiteren, separaten Schädling auf das mobile Gerät zu laden. Und zwar nicht aus dem Grunde, weil Malware weitere Malware erzeugt, sondern weil Nutzer, die einmal zweifelhaftes Material herunterladen, dies auch ein zweites, drittes und viertes Mal tun könnten. Die Statistik macht es deutlich:

 

* Wenn ein Nutzer einmal auf Adware gestoßen ist, ist die Wahrscheinlichkeit, ein zweites Mal eine App mit Adware herunterzuladen, zweimal so hoch.

 

* Ein Trojaner auf dem Smartphone zu haben, bedeutet eine siebenmal höhere Wahrscheinlichkeit, eine weitere App mit einem Trojaner herunterzuladen.

 

* Ein Smartphone mit Chargeware verdoppelt das Risiko, in einer heruntergeladenen App auf einen Trojaner zu stoßen.

 

* Das Risiko, einen Trojaner herunterzuladen verdreifacht sich, wenn bereits einen Root-Enabler heruntergeladen wurde.

 

In dieser Welt der maßgeschneiderten Malware sollten wir nicht überrascht sein, dass kriminelle Entwickler nach Möglichkeiten suchen, bestimmte Verhaltensmuster auszunutzen und für ihre Zwecke zu missbrauchen. Genau wie Werbetreibende streben sie danach, ihren Zielmarkt zu verstehen und ihre Ansätze anzupassen, um die "Zielgruppe" besser zu erreichen.

 

Für 2014 wird mit Kriminellen bzw. zweifelhaften Unternehmen gerechnet, die weiterhin die “Grauzone” ausnutzen und zielgruppenübergreifendes Verhalten für ihre dubiosen Zwecke nutzen. Vielleicht tauchen neue Monetarisierungsmethoden auf, aber solange Betrug durch Premium-SMS in bestimmten Regionen der Welt weiterhin ein erfolgreiches Geschäftsmodell ist, erwarten wir hier keine Veränderung.

 

2013 war das Jahr, in dem wir die Auswirkung der regionalen Diversifizierung von Malware gesehen haben. Wir haben dargelegt, dass durch gebündelten Einsatz innerhalb einer Branche eine massive Bedrohung gestoppt werden kann: 2013 war das Jahr des Niedergangs für Adware. Wie in anderen Bereichen des Lebens gilt auch im Smartphone-Ökosystem: Wer regelmäßig Risiken eingeht, wird mit höherer Wahrscheinlichkeit von Schadsoftware betroffen sein.

 

Unternehmen haben bereits große Mengen an sensiblen und vertraulichen Firmendaten auf Smartphones, z.B. Zugangsdaten zu firmeninternen Netzwerken und Cloud-Diensten, Kundenlisten und Kontaktdaten. Da das Arbeiten mit privaten Smartphones und Tablets am Arbeitsplatz sich immer weiter verbreitet, werden Kriminelle abermals mobile Geräte benutzen, um einen einfachen Zugang zu den Unternehmen und ihren wertvollen Daten zu bekommen. Angriffe auf traditionelle, in hohem Maße überwachte Netzwerkdienste werden eher nicht zunehmen.

 

Bei den aktuellen Nachrichten über Werbe-SDKs in Apps und Anwendungen, die persönliche und Firmendaten über das Internet verbreiten, sind Unternehmen sich deutlicher bewusst denn je, dass Lösungen implementiert werden müssen, die Datenlecks und -verluste minimieren. Um die immer größer werdende Gefahr von Datenverlust zu bekämpfen, werden große und kleine Unternehmen verstärkt Produkte einsetzen, um den Austausch von Unternehmensdaten zwischen Smartphones und lokalem Unternehmensnetzwerk zu kontrollieren.

 

Weitere Informationen:

https://www.lookout.com/de

https://www.lookout.com/resources/reports/mobile-threat-report

Zurück