© DrHitch/Shutterstock.com
Android Security

1 Android im Visier der Cyberkriminellen


Während es für iOS im Grunde keine Schadsoftware gibt [1], gibt es für Android das volle Programm. Angefangen bei Apps mit potenziell unerwünschten Funktionen über Trojaner mit echten Schadfunktionen zu Drive-by-Infektionen ist alles vertreten.

Bisher hatte sich Android-Ransomware darauf beschränkt, die infizierten Geräte zu sperren und erst nach Zahlung eines Lösegelds wieder freizugeben. Diese Sperre ließ sich meist mehr oder weniger einfach aushebeln, sodass sich der Schaden in Grenzen hielt. Unter Windows ist schon seit Langem die Verschlüsselung vermutlich für den Benutzer wichtiger Dateien üblich. So einen Schädling gibt es nun auch für Android.

Simplocker – Vorbote einer neuen Gefahr für Android

Anfang Juni wurde von ESET die erste Ransomware für Android entdeckt, die bestimmte Dateitypen auf der Speicherkarte des Smartphones verschlüsselt: Simplocker [2]. Der als Trojaner auf die Geräte kommende Schädling verschlüsselt alle Dateien mit den Endungen jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, av, mkv, 3gp und mp4. Die parallel angezeigte Lösegeldforderung ist in Russisch geschrieben, die Bezahlung soll in Ukrainischen Hrywnja erfolgen.

Der Trojaner wird von ESET als „a proof of concept or a work in progress“ eingestuft, vermutlich ist der jetzige Einsatz also nur ein Test des Schädlings. Dafür spricht auch die „Qualität“ der Verschlüsselung: Am 16. Juni hat Simon Bell, ein Informatikstudent an der University of Sussex, eine Analyse der Verschlüsselungsfunktion veröffentlicht [3]. Der Schädling nutzt zwar das sichere Verfahren AES, der dafür verwendete Schlüssel ist aber fest im Code vorgegeben. Daher konnte Simon Bell schon am 17. Juni ein Tool zur Entschlüsselung nachreichen [4].

Windows-Schädlinge sind schon weiter

Diese schnelle „Neutralisierung“ von Simplocker sollte aber nicht darüber hinweg täuschen, dass es nun eine weitere gefährliche Schädlingsart für Android gibt. Die ersten Dateien verschlüsselnder Ransomware-Schädlinge für Windows ließen sich auch mehr oder weniger leicht austricksen … bis die Cyberkriminellen zu sicheren Verfahren und Implementierungen gegriffen haben. Unter Windows lässt sich zum Beispiel kaum ein Schädling mehr mit dem verwendeten Schlüssel erwischen. Der zurzeit bekannteste Windows-Vertreter dieser Art ist Cryptolocker, und der verwendet das asymmetrische RSA-Verfahren mit einem individuell erstellten Schlüsselpaar.

Das Schlüsselpaar wird auf einem Server der Cyberkriminellen erzeugt, von dem der installierte Schädling den für die Verschlüsselung benötigten öffentlichen Schlüssel lädt. Der für die Entschlüsselung notwendige private Schlüssel bleibt bis zur Zahlung des Lösegelds auf dem Server. Daher gibt es keine Möglichkeit, die verschlüsselten Dateien ohne Mithilfe der Cyberkriminellen zu entschlüsseln [5].

Seien Sie vorsichtig!

Die Schadsoftware für Android wird also nicht nur ständig mehr, sondern auch gefährlicher. Es dürfte nicht lange dauern, bis die erste Dateien verschlüsselnde Ransomware erscheint, deren Verschlüsselung nicht zu brechen ist. Achten Sie also darauf, nur Apps aus zuverlässigen Quellen zu installieren. Auch wenn das keine wirkliche Garantie dafür ist, dass darin nicht doch Schadfunktionen enthalten sind.

Bösartige Apps im Android Market (Google Play)

Die Gefahr, dass bösartige Apps über Googles offiziellen Android Market (der jetzt bekanntlich Google Play heißt) vertrieben werden, war von Anfang an bekannt. Ein Beispiel für so eine bösartige App ist unter dem Namen Droid Dream oder DroidDream bekannt. Dabei handelt es sich gleich um eine ganze Reihe von Apps (mehr als fünfzig Stück), die im Februar 2011 im Android Market veröffentlicht wurden [6]. Die Apps enthielten Exploit-Code für eine Schwachstelle in Android, über die sie aus der Sandbox ausbrechen konnten. Danach sendeten sie vertrauliche Informationen an einen Server der Cyberräuber und konnten weiteren Code nachladen.

Bei den Apps handelte es sich um trojanisierte Versionen legitimer Apps; die Entwickler hatten sie um den Schadcode erweitert [7]. Google reagierte schnell auf den Angriff [8]: Die bösartigen Apps wurden aus dem Android Market entfernt, die beteiligten Entwickleraccounts gesperrt und die installierten Apps von den betroffenen Geräten über das Remote Application Removal Feature [9] gelöscht. Auf den betroffenen Geräten wurde automatisch das Android Market Security Tool March 2011 installiert, das den eingeschleusten Schadcode entfernt. Außerdem wurden nicht näher beschriebene Maßnahmen ergriffen, damit nicht erneut bösartige Apps mit diesem Exploit-Code über den Android Market vertrieben werden können.

Außerdem wollte Google gemeinsam mit seinen Partnern sicherstellen, dass die Patches für die ausgenutzten Schwachstellen schnell verbreitet werden. Was auch dringend nötig war, da die Schwachstellen ja ansonsten jederzeit erneut ausgenutzt werden könnten. Im Grunde war das auch kein Problem, da die Schwachstellen in Android 2.2.2 behoben wurden, also nur ältere Versionen betroffen waren [10]. Leider sind die diversen Smartphonehersteller meist ziemlich langsam, wenn es darum geht, Updates anzupassen und zu verteilen. Zusätzlich müssen dann auch noch die Netzbetreiber bereit sein, das Update zu verteilen (und unter Umständen vorher noch für das eigene Netz zu konfigurieren). Das dauert natürlich seine Zeit – selbst wenn alle Beteiligten mitspielen. Stellt sich dann auch noch einer quer, können die Benutzer lange auf ein Update warten.

Google ist dabei kein Vorwurf zu machen, denn das Unternehmen liefert nur das Grundgerüst, das dann von den Hardwareherstellern an die eigenen Geräte angepasst werden muss. Dementsprechend gibt es sehr viele Android-Geräte mit veralteten Android-Versionen. Im September 2012 enthielten sehr wahrscheinlich mehr als die Hälfte aller Android-Geräte ungepatchte Schwachstellen [11], [12]. Dieses „Hinterherhinken“ hat Apple bereits für Marketingzwecke ausgenutzt [13]. Dort hat man es aber auch deutlich einfacher: Zum einem kommen System (iOS) und Hardware (iPhone und iPad) aus einem Guss, wodurch individuelle Anpassungen an die Hardware entfallen. Zum anderen steht mit dem Softwareupdate eine eigene Lösung für die Verteilung der Updates zur Verfügung, man ist also nicht auf die Netzbetreiber angewiesen.

Fake-Apps: Apps unter falscher Flagge

Bei den bösartigen Programmen kann man zwischen zwei Möglichkeiten unterscheiden: Zum einen können harmlose Apps manipuliert und als Trojaner neu veröffentlicht werden, zum anderen können die Entwickler auch gleich bösartige Apps entwickeln und veröffentlichen. Meist werden diese bösartigen Apps dann als bekannte Apps oder deren Nachfolger ausgegeben. Tatsächlich haben sie mit diesen natürlich rein gar nichts zu tun.

Einige Beispiele: Im April 2012 wurde eine angebliche Instagram-App über eine russische Website vertrieben [14]. Die hatte mit Instagram aber nichts zu tun und emulierte das Original auch nur sehr unzureichend (evtl. weil sie nicht den richtigen Netzwerkbetreiber fand), aber das dürfte die Hersteller nicht weiter gestört haben. Denn die Schadfunktion funktionierte: das Versenden kostenpflichtiger SMS, an denen sie verdienten.

Ebenfalls im April 2012 erschien in Googles offiziellem Store Google Play eine App mit dem Spiel Legends of Zelda [15]. Das stammte aber nicht von Nintendo, sondern von bösen Buben, die einen N64-Emulator mit einem Spiele-ROM zu einer App zusammengeschnürt hatten. Mal abgesehen von den damit verbundenen Urheberrechtsverstößen gab es mit dieser App noch ein weiteres Problem: Sie legte auf den Home-Screens der Benutzer Icons ab, die Links zu Webseiten mit Werbung enthielten – an der dann wiederum die Cyberkriminellen verdienten. Nach Legends of Zelda wurden weitere entsprechende Apps gefunden, zum ...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang