Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Most Popular Analysis



Spam im August 2014



Untersuchung von Einbruchsfällen in Online-Bezahlsysteme



Spam-Lieferservice: Gefahr garantiert



Mobile Bedrohungen im Jahr 2013



Das nigerianische Erbe erwartet Sie
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Entwicklung der IT-Bedrohungen im dritten Quartal 2013

19.11.2013   |   Ihr Kommentar

Victor Chebyshev
Christian Funk
Virus-Analyst, Kaspersky Lab Central Europe
Maria Garnaeva

Das Quartal in Zahlen

  • Laut den Daten des Kaspersky Security Network (KSN) entdeckten und entschärften die Produkte von Kaspersky Lab im dritten Quartal 2013 exakt 978.628.817 schädliche Objekte.
  • Die Lösungen von Kaspersky Lab wehrten 500.284.715 Attacken ab, die von Internet-Ressourcen in verschiedenen Ländern der Welt durchgeführt wurden.
  • Unsere Antiviren-Lösungen blockierten erfolgreich 476.856.965 Versuche einer lokalen Infektion von Computern, die zum Kaspersky Security Network gehören.
  • Insgesamt 45,2 Prozent aller von unseren Produkten blockierten Webattacken nutzten schädliche Webressourcen in den USA und in Russland.

Allgemeine Lage

Zielgerichtete Attacken / APT

Die neuen Tricks von NetTraveler

Die Experten von Kaspersky Lab haben einen neuen Angriffsvektor entdeckt, den sich NetTraveler zunutze macht – eine zielgerichtete andauernde Bedrohung (APT, Advanced Persistent Threat), die bereits die Rechner von mehreren hundert prominenten Opfern in mehr als 40 Ländern infiziert hat. Zu NetTravelers bekannten Zielen gehören tibetanische und uigurische Aktivisten, Erdölunternehmen, wissenschaftliche Forschungszentren und Institute, Universitäten, Privatunternehmen, Regierungen und Regierungsinstitutionen, Botschaften und Militärfirmen.

Sofort nachdem ihre Aktivität im Juni 2013 öffentlich bekannt wurde, legten die Angreifer alle bekannten Command- und Control-Systeme (C&C) still und verlegten sie auf neue Server in China, Hongkong und Taiwan, von wo aus die Attacken ungehindert fortgesetzt wurden.

In den letzten Tagen des Quartals wurden mehrere Spear-Phishing-Mails an zahlreiche uigurische Aktivisten verschickt. Die Java-Sicherheitslücke, die Cyberkriminelle zur Verbreitung dieser neuen Variante der Red Star APT ausnutzten, wurde erst im Juni 2013 geschlossen und kommt auf eine viel höhere Erfolgsquote als das zuvor verwendete Exploit. In früheren Attacken wurden Exploits zu einer Office-Schwachstelle (CVE-2012-0158) benutzt, die Microsoft im letzten April gepatcht hat.

Neben dem Einsatz von Spear-Phishing-Mails haben sich die APT-Betreiber auch die Watering-Hole-Technik angeeignet (Web-Umleitungen und Drive-by-Downloads auf manipulierte Domains), um einen Computer zu infizieren, während der Anwender im Internet surft. Kaspersky Lab hat eine Anzahl von Infektionsversuchen abgefangen und blockiert, die von der Domain „weststock[dot]org“ ausgingen – eine bekanntermaßen mit früheren Angriffen von NetTraveler zusammenhängenden Webseite. Diese Umleitungen scheinen von anderen Uiguren-Webseiten zu kommen, die von den NetTraveler-Angreifern kompromittiert und infiziert wurden.

Icefog

Kaspersky Lab hat „Icefog“ entdeckt, eine kleine, aber dennoch dynamische APT-Gruppe, die sich auf Ziele in Südkorea und Japan konzentriert und Lieferketten westlicher Unternehmen angreift. Icefog ist seit 2011 aktiv und hat in den letzten Jahren an Größe und Wirkungsbereich zugenommen. Während die Angreifer bei den meisten anderen APT-Kampagnen die ins Visier genommenen Computer über Monate oder sogar Jahre hinweg infizieren und kontinuierlich Daten stehlen, nehmen sich die Icefog-Betreiber ihre Opfer eines nach dem anderen vor, wobei sie sehr zielgerichtet nur ganz spezielle Daten suchen, finden und kopieren. Haben sie die gewünschten Informationen in ihren Besitz gebracht, verschwinden sie wieder. Die Angreifer kapern sensible Dokumente und Unternehmenspläne, E-Mail-Anmeldedaten und Passwörter für verschiedene Ressourcen innerhalb und außerhalb des betroffenen Netzwerks. In den meisten Fällen scheinen die Icefog-Betreiber sehr genau zu wissen, was sie von ihren Opfern brauchen. Sie suchen nach speziellen Dateinamen, die schnell identifiziert und an das C&C weitergeleitet werden. Ausgehend von den Profilen und den identifizierten Zielen sind die Angreifer anscheinend an den folgenden Sektoren interessiert: Militär, Schiffsbau und maritimer Betrieb, Computer und Softwareentwicklung, Forschungsunternehmen, Telekommunikationsbetreiber, Satellitenbetreiber, Massenmedien und Fernsehen.

Das Kaspersky-Team hat 13 der mehr als 70 von den Angreifern genutzten Domains auf Sinkhole-Server umgeleitet und konnte so Statistiken über die Zahl der weltweiten Infektionen erstellen. Die C&C-Server von Icefog unterhalten zudem verschlüsselte Protokolle über ihre Ziele inklusive Informationen über die jeweils dort vollzogenen Aktionen. Diese Protokolle können unter Umständen dazu beitragen, die Angriffsziele – und in manchen Fällen auch die davon betroffenen Personen – zu identifizieren. Neben Japan und Südkorea beobachteten die Kaspersky-Experten viele Sinkhole-Verbindungen in anderen Ländern, unter anderem in Taiwan, Hongkong, China, den USA, Australien, Kanada, Großbritannien, Italien, Deutschland, Österreich, Singapur, Weißrussland und Malaysia. Insgesamt beobachtete Kaspersky Lab über 4.000 individuelle infizierte IPs und mehrere hundert Ziele (einige Dutzend Windows-PCs und mehr als 350 Mac-OS-X-Rechner).

Aufgrund der Liste von IPs, die zur Beobachtung und Kontrolle der Infrastruktur benutzt werden, vermuten die Kaspersky-Experten, dass einige der Hacker, die hinter dieser Kampagne stecken, in mindestens drei Ländern operieren: China, Südkorea und Japan.

Kimsuky

Im September veröffentlichte das Forschungsteam von Kaspersky Lab eine Analyse einer aktiven Cyberspionage-Kampagne, die in erster Linie südkoreanische Denkfabriken angreift.

Die Kampagne mit der Bezeichnung Kimsuky ist begrenzt und in höchstem Maße zielgerichtet. Gemäß der technischen Analyse hatten es die Angreifer auf elf Organisationen in Südkorea und zwei in China abgesehen, unter anderem auf das Sejong Institute, das Korea Institute For Defense Analyses (KIDA), Südkoreas Ministerium für die Vereinigung beider Länder, den Firmensitz der Reederei Hyundai und die unabhängigen Unterstützer der Wiedervereinigung Koreas.

Die ersten Anzeichen einer Aktivität von Kimsuky datieren auf den 3. April 2013, und die ersten Kimsuky-Trojaner-Samples erschienen am 5. Mai 2013. Dieses schlichte Spionageprogramm enthält mehrere grundlegende Kodierungsfehler und kommuniziert mit den infizierten Rechnern über einen bulgarischen webbasierten kostenlosen E-Mail-Server.

Auch wenn bisher noch nicht bekannt ist, wie die Malware auf die Rechner gelangt, so nehmen die Kaspersky-Experten an, dass Kimsuky höchstwahrscheinlich via Spear-Phishing-Mails auf die Computer transportiert wird, und dass der Schädling die folgenden Spionage-Funktionen ausführen kann: Tastatureingaben protokollieren, Verzeichnislisten erstellen sowie Remotezugriff und Diebstahl von HWP-Dokumenten (Dateiendung der südkoreanischen Textverarbeitungsanwendung aus dem Hancom-Office-Paket, das die lokale Regierung extensiv nutzt). Die Angreifer nutzen eine modifizierte Version der Remotezugriff-Anwendung TeamViewer als Backdoor, um so jede beliebige Datei von den infizierten Rechnern zu stehlen.

Die Kimsuky-Malware enthält ein zweckbestimmtes Schadprogramm, das auf den Diebstahl von HWP-Dateien spezialisiert ist. Das lässt darauf schließen, dass diese Dokumente zu den Hauptzielen dieser Gruppe gehören.

Von Kaspersky Lab gefundene Indizien lassen den Schluss zu, dass die Angreifer aus Nordkorea stammen. Erstens sprechen die Profile der Ziele für sich – südkoreanische Universitäten, die Studien zu internationalen Angelegenheiten durchführen und die Verteidigungsstrategien für die Regierung ausarbeiten, ein nationaler Schiffsbauer und Unterstützer der koreanischen Wiedervereinigung.

Zweitens enthält ein Kompilierungspfad-String koreanische Wörter. Einige davon könnten beispielsweise mit den Befehlen „angreifen“ und „ausführen“ übersetzt werden.

Drittens sind zwei E-Mail-Adressen, an die die Bots Statusberichte senden und per Anhang Informationen über das infizierte System übermitteln – iop110112@hotmail.com und rsh1213@hotmail.com – auf die folgenden „Kim“-Namen registriert: „kimsukyang“ und „Kim asdfa“. Obwohl diese Registrierungsdaten keine Fakten und Zahlen über die Angreifer liefern, passen die Quell-IP-Adressen der Angreifer zu dem Profil: Es gibt zehn ursprüngliche IP-Adressen, die alle im Jilin Province Network und im Liaoning Province Network in China liegen. Das Kaspersky-Team vermutet, dass diejenigen Internet Service Provider, die Internetzugang in diesen Provinzen bereitstellen, auch Verbindungen zu Teilen Nordkoreas unterhalten.

Malware- & Hacking-Geschichten im dritten Quartal

Autor des Exploit-Kits Blackhole festgenommen

Der Blackhole-Entwickler, bekannt als Paunch, und seine mutmaßlichen Partner wurden Anfang Oktober in Russland festgenommen. Blackhole ist das wohl erfolgreichste Exploit-Kit der letzten Jahre. Blackhole wird an Cyberkriminelle verkauft, die Malware via Drive-by-Downloads verbreiten – die derzeit vorherrschende Angriffsmethode. Die Cyberkriminellen setzen schädliche Links ein, die auf kompromittierte Webseiten führen, um dort die Rechner der Nutzer zu infizieren. Das Exploit-Kit sucht die jeweils funktionierenden Exploits heraus, indem es die auf dem infizierten Rechner installierte Software prüft, beispielsweise Adobe Flash, Adobe Reader oder Java.

Die Festnahmen des Blackhole-Entwicklers und der Mitglieder der Carberp-Gang im März und April 2013 sehen Antiviren-Experten als die bedeutendsten Verhaftungen von Cyberkriminellen in den letzten Jahren an. Während im Fall von Carberp der Quellcode daraufhin öffentlich zugänglich gemacht wurde, ist es bisher noch unklar, ob Blackhole nun von der Bildfläche verschwinden, von anderen übernommen oder künftig von Konkurrenten ersetzt werden wird.

Neues Router-Botnet

Im September dieses Jahres berichtete Heise von der Entdeckung eines neuen Botnetzes, das aus Routern besteht. Router sind das Rückgrat eines jeden Heimnetzwerks, und werden sie infiziert, so sind alle damit verbundenen Geräte betroffen – Windows- und Mac-Rechner, Tablets, Smartphones und selbst das Smart-TV. Der Bot mit dem Namen Linux/Flasher.A greift alle Anmeldedaten ab, die von Heimnetzwerk-Geräten übermittelt werden. Die Infektion erfolgt über eine Sicherheitslücke im Webserver eines Routers, auf dem die quelloffene Linux-Firmware DD-WRT läuft. Eine inkorrekte HTTP-Anfrage führt zur Ausführung von willkürlichem Code. Die Beute in Form von gestohlenen Anmeldedaten wird dann an die kompromittierten Webserver gesendet.

Die von Flasher.a ausgenutzte Sicherheitslücke datiert auf das Jahr 2009 zurück, und obwohl sie sofort nach ihrer Entdeckung geschlossen wurde, sind laut Heise immer noch über 25.000 Geräte unsicher. Dadurch wird die große Bedrohung deutlich, die von Routern ausgeht: Deren Firmware wird von den Nutzern kaum jemals aktualisiert, so dass die Geräte zu einer leichten Beute werden, wenn neue Sicherheitslücken auftauchen. Näheres über Router-Malware erfahren Sie in der Analyse der Kaspersky-Lab-Expertin Marta Janus über Psyb0t, das erste Router-Schadprogramm in freier Wildbahn.

Web-Sicherheit und Datenlecks

Vodafone Deutschland gehackt

Mitte September wurde Vodafone Deutschland Ziel eines Angriffs, bei dem zwei Millionen Kundendateneinträge kopiert wurden. Die Einträge enthielten nicht nur Namen und Adressen, sondern auch Kontodaten. Vodafone vermutete aufgrund der Spuren und der Menge der gestohlenen Daten einen Insider hinter dieser Attacke. Ein Tatverdächtiger konnte schnell identifiziert werden. Allerdings bekannte sich eine Hackergruppe namens Team_L4w zu dem Angriff und gab an, dass eines der Mitglieder einen infizierten USB-Stick benutzt hat, um den Rechner eines Vodafone-Mitarbeiters zu infizieren.

Vodafone informierte alle betroffenen Kunden per Brief. Aus Gründen der Transparenz hat Vodafone ein Webformular erstellt, mit dem die Kunden überprüfen können, ob ihre Daten betroffen sind.

Apple-Entwicklerbereich gehackt

Im Juli nahm Apple seinen Entwicklerbereich für mehr als drei Wochen offline, nachdem sich ein Eindringling Zugriff auf die persönlichen Informationen registrierter Entwickler verschafft hatte. Das „wer“ und „wie“ des Hacks bleiben unklar, da es mehrere mögliche Erklärungen gibt. Kurz nachdem der Vorfall publik wurde, veröffentlichte ein angeblicher Sicherheitsberater ein Video auf YouTube, in dem er sich zu der Attacke bekannte.

Der „Sicherheitsberater“ behauptete, mehr als 100.000 Einträge aus den Datenbanken von Apple gestohlen zu haben, die er zu löschen versprach. Er habe dabei einen Cross-Site-Scripting-Fehler auf dem Entwicklerportal ausgenutzt. Der Angreifer gab 19 Einträge an die britische Tageszeitung Guardian weiter. Dort fand man heraus, dass einige Adressen ungültig und andere verwaist waren. Das wiederum schürte Zweifel am Wahrheitsgehalt des Bekenntnisses.

Zwei Tage, bevor Apple das Entwicklerportal offline nahm, schrieb interessanterweise jemand in den Apache-Foren eine Nachricht über eine neue Schwachstelle. Die Person ging dabei nicht nur ins Detail, sondern veröffentlichte auch ein voll funktionsfähiges Exploit. Laut einer chinesischen Webseite führte dies zu groß angelegten Attacken – Apple könnte nur eines von vielen Opfern sein.

Prominente Domains gekapert

Anfang Oktober wurden mehrere prominente Domains gekapert, unter anderem whatsapp.com, alexa.com, redtube.com sowie die zweier bekannter Sicherheitsunternehmen. Anscheinend haben die Angreifer – eine Gruppe mit dem Namen KDMS – nicht die eigentlichen Webserver kompromittiert, sondern vielmehr die DNS- oder Domain-Registrare gekapert. Alle angegriffenen Domains haben den gleichen DNS-Registrar und waren, als dieser Fall ans Licht kam, erst kürzlich aktualisiert worden. Nach Angaben von Softpedia erfolgte der Angriff auf den ISP der betroffenen Webseiten durch das Senden von gefälschten Aufforderungen via E-Mail, das Passwort zurückzusetzen. Nachdem die Angreifer mit den neuen Anmeldedaten die Kontrolle über die Domain erlangt hatten, änderten sie die Einträge und verbreiteten politische Statements.

Mobile Malware

Der Kampf gegen mobilen Schadcode war im dritten Quartal überaus spannend, da es reich an Hacker-Tricks aller Art war.

Neuheiten der Virenautoren

Das letzte Vierteljahr kann man mit Fug und Recht als das Quartal der mobilen Botnetze bezeichnen. Die Entwickler der am weitesten verbreiteten SMS-Trojaner sind darauf aus, ihre Machwerke immer interaktiver zu steuern. Daher begannen die Virenschreiber, Googles Cloud Messaging Service (GCM) zur Steuerung ihrer Bots einzusetzen. Dieser Service ermöglicht es, kleinere Mitteilungen im Format JSON an ein mobiles Gerät zu schicken. Die Cyberkriminellen setzten GCM so als zusätzliches C&C für ihre Trojaner ein.

Diese Art von Interaktion können Schutzlösungen nicht ohne weiteres aufspüren. Die Verarbeitung der vom GCM erhaltenen Befehle übernimmt das System, und es ist nicht möglich, diese Kommandos direkt auf dem infizierten Gerät zu blockieren. Der einzige Weg, den Virenschreibern diesen Verbindungskanal zu ihrer Malware zu kappen, besteht darin, die Accounts der Entwickler zu sperren, deren ID die Schadprogramme bei der Registrierung im GCM benutzen.

Derzeit ist die Zahl der mobilen Schadprogramme, die GCM benutzen, nicht sonderlich groß. Allerdings sind die meisten von denen, die es tun, äußerst populär.

Die Kaspersky-Experten erlebten Mitte Juni 2013 erstmals, dass die Kapazitäten eines Dritt-Botnetzes für die Verbreitung von mobilen Schädlingen genutzt wurden. Es handelte sich um ein Botnetz aus mobilen Geräten, die mit anderen Schadprogrammen infiziert waren, die wiederum von anderen Cyberkriminellen gesteuert wurden.

Auf diese Weise wurde Obad verbreitet, der komplexeste Android-Trojaner schlechthin. Für seine Ausbreitung wurden mobile Geräte verwendet, die mit dem Schädling Trojan-SMS.AndroidOS.Opfake.a infiziert waren. Auf den infizierten Geräten verschickte Opfake auf Befehl des C&C-Servers eine SMS an alle gespeicherten Kontakte mit der Aufforderung, eine neue MMS-Mitteilung herunterzuladen. Wenn der Anwender, der eine solche SMS erhalten hatte und den mitgeschickten Link aufrief, wurde automatisch der Schädling Backdoor.AndroidOS.Obad.a auf sein Mobilgerät geladen.

Wie auch schon früher werden mobile Schädlinge in erster Linie zum Diebstahl von Geld verwendet. Im dritten Quartal erschien ein Schadprogramm, das Cyberkriminellen die Möglichkeit gibt, Geld nicht nur von mobilen Konten, sondern auch von Bankkonten zu stehlen. Der von Kaspersky Lab im Juli abgefangene Schädling Trojan-SMS.AndroidOS.Svpeng.a überprüft auf Befehl des Virenschreibers, ob eine mobile Nummer dem mobilen Banking verschiedener russischer Banken zugeordnet werden kann. Die zweite Modifikation dieses Trojaners enthielt die Überprüfungsfunktionalität in ihrem Code:


In der Regel können Anwender von einem Telefon, das für einen Online-Banking-Service registriert ist, das Konto jedes beliebigen Mobiltelefons auffüllen, nachdem sie eine entsprechende SMS versendet haben. Das ermöglicht es Cyberkriminellen, die auf dem Onlinekonto verfügbaren Summen an ihre mobile Nummer zu überweisen und diese daraufhin in Bares zu verwandeln, beispielsweise indem sie das Geld auf ihr Online-Konto beim Zahlungsdienstanbieter QIWI transferieren (QIWI Wallet).

Der Trojaner Trojan-SMS.AndroidOS.Svpeng.a behindert die Kommunikation des Kontoinhabers mit der Bank – insbesondere indem er SMS und Anrufe von den zur Bank gehörenden Nummern abfängt. Als Konsequenz ahnen die Betroffenen oft lange Zeit nicht, dass Geld von ihrem Bankkonto gestohlen wurde.

Die Verluste, die aus der Aktivität solcher Trojaner resultieren, können für einen einzelnen Anwender einige tausend US-Dollar betragen.

Auch die Ausnutzung verschiedener Sicherheitslücken im Betriebssystem Android erfreut sich zunehmender Popularität. So belegte der Schädling Svpeng.a beispielsweise einen nicht existierenden Speicher mit einem nicht existierenden Passwort und fing den Dialog zur Rechteenthebung eines ‚Device Administrator‘ ab, was dazu führte, dass der Nutzer die Anwendung nicht mehr löschen konnte.

Die Rechte eines ‚Device Administrator‘ verwenden auch einige andere aktuelle Schadprogramme, was zur Folge hat, dass sie auf den meisten Android-Versionen lange und effektiv laufen können.

MasterKey-Sicherheitslücken in Android ermöglichen Anwendungen Umgehung des Integritäts-Checks

Zu Beginn des dritten Quartals wurden zwei äußerst unangenehme Android-Schwachstellen aufgedeckt, die beide als „MasterKey“-Sicherheitslücken bezeichnet werden. Diese Schwachstellen ermöglichen es, Komponenten einer App unter Umgehung der kryptografischen Signatur zu verändern, so dass Android OS solche Programme als komplett legitim betrachtet, auch wenn sie schädliche Module enthalten.

Die Sicherheitslücken sind im Grunde genommen gleich. Das erste Leck wurde bereits im Februar von der Bluebox Security Company entdeckt und später in Einzelheiten von Jeff Forristal auf der BlackHat-Konferenz in Las Vegas besprochen. Laut Bluebox existiert die Schwachstelle in allen Android-Versionen ab Version 1.6 und betrifft fast jedes Gerät, das in den letzten vier Jahren erschienen ist. Apps sind einzelne Dateien mit der Erweiterung .APK (Android Package). Normalerweise handelt es sich bei APK-Dateien um ZIP-Archive, die alle App-Komponenten in Form speziell bezeichneter Dateien enthalten (der Code der App selbst wird üblicherweise in der Datei „classes.dex file“ gespeichert). In der Regel stoppt ein Android-Gerät jeden Versuch, während der Installation der App eine APK-Datei mit geändertem Inhalt zu starten. Das ZIP-Format an sich schließt die Dopplung von Dateinamen nicht aus. Dabei überprüft Android das Datei-Double erfolgreich und startet die andere Datei.

Chinesische Experten veröffentlichten Informationen über die zweite Sicherheitslücke. In diesem Fall besteht das Problem in der gleichzeitigen Verwendung zweier Methoden zum Lesen und Entpacken von APK-Dateien und den unterschiedlichen Interpretationen von Java und C. Wie auch bei der erstgenannten Sicherheitslücke lässt sich eine derartige Infektionsmethode auf jede beliebige Datei anwenden, um sich in die Arbeit des Systems einzumischen. Eine Voraussetzung für eine erfolgreiche Attacke liegt in der Größe der Originaldatei „classes.dex“ – sie darf nicht größer als 64 Kilobyte sein, und diese Bedingung wird von den meisten Android-Apps nicht erfüllt.

Weitere Informationen zu diesem Thema finden Sie in dem Blogpost von Stefano Ortolani.

Mobile Malware: Statistik

Im dritten Quartal 2013 stieg die Zahl mobiler Schädlinge weiter an:


Zahl der Samples in der Datenbank von Kaspersky Lab

Die Verteilung nach Typen der im dritten Quartal 2013 entdeckten mobilen Schädlinge hat sich gegenüber dem vorangegangenen Quartal verändert:


Verteilung neuer mobiler Schädlinge nach Typen, drittes Quartal 2013

Auf Platz eins befinden sich nach wie vor die Backdoors, deren Wert um 1,3 Prozentpunkte geringer ist als im zweiten Quartal 2013. Position zwei belegen die SMS-Trojaner (30 %), deren Anteil innerhalb des Quartals um 2,3 Prozentpunkte gestiegen ist. Darauf folgen wie gehabt trojanische Programme (22 %) und Spionage-Trojaner, auf die fünf Prozent entfallen. Die Backdoors und SMS-Trojaner stellten im dritten Quartal insgesamt 61 Prozent aller entdeckten mobilen Schädlinge – das sind 4,5 Prozentpunkte mehr als im zweiten Quartal.

Die mobilen Schadprogramme vereinen nicht selten gleich mehrere schädliche Komponenten in sich. Daher verfügen Backdoors häufig auch über die Funktionalität von SMS-Trojanern, und SMS-Trojaner haben häufig die komplexe Funktionalität von Bots.

Top 20 der mobilen Schadprogramme

  Name Prozentualer Anteil an allen Attacken
1 DangerousObject.Multi.Generic 29,15%
2 Trojan-SMS.AndroidOS.OpFake.bo 17,63%
3 Trojan-SMS.AndroidOS.FakeInst.a 8,40%
4 Trojan-SMS.AndroidOS.Agent.u 5,49%
5 Trojan.AndroidOS.Plangton.a 3,15%
6 Trojan-SMS.AndroidOS.Agent.cm 3,92%
7 Trojan-SMS.AndroidOS.OpFake.a 3,58%
8 Trojan-SMS.AndroidOS.Agent.ao 1,90%
9 Trojan.AndroidOS.MTK.a 1,00%
10 DangerousObject 1,11%
11 Trojan-SMS.AndroidOS.Stealer.a 0,94%
12 Trojan-SMS.AndroidOS.Agent.ay 0,97%
13 Exploit.AndroidOS.Lotoor.g 0,94%
14 Trojan-SMS.AndroidOS.Agent.a 0,92%
15 Trojan-SMS.AndroidOS.FakeInst.ei 0,73%
16 Trojan.AndroidOS.MTK.c 0,60%
17 Trojan-SMS.AndroidOS.Agent.df 0,68%
18 Trojan-SMS.AndroidOS.Agent.dd 0,77%
19 Backdoor.AndroidOS.GinMaster.a 0,80%
20 Trojan-Downloader.AOS.Boqx.a 0,49%

Wie man sieht, sind zwölf der Programme aus den Top 20 Vertreter des Typs Trojan-SMS. Das zeugt davon, dass die Angriffe unter Verwendung von SMS-Trojanern unter Cyberkriminellen am beliebtesten sind, und SMS-Trojaner nach wie vor das wichtigste Werkzeug sind, das Online-Gangster einsetzen, um sich zu bereichern.

Auf Position eins befinden sich Schädlinge aus der Kategorie DangerousObject.Multi.Generic. Schadprogramme dieses Typs werden mit Hilfe von Cloud-Technologien aufgespürt, wenn die Kaspersky-Experten bereits etwas über das Wesen der Anwendung wissen, aber noch keine Signatur in den Datenbanken vorhanden ist beziehungsweise noch nicht an unsere Anwender weitergegeben wurde. In diesem Fall erfolgt die Erkennung über das Kaspersky Security Network (KSN), das es unseren Produkten ermöglicht, schnell auf neue und unbekannte Bedrohungen zu reagieren.

Die mobilen Schädlinge auf den Positionen zwei bis vier sind überaus komplexe Anwendungen, die die Grundlage für mobile Botnetze bilden.

Position zwei besetzt Trojan-SMS.AndroidOS.OpFake.bo – einer der komplexesten SMS-Trojaner überhaupt. Dieser Schädling zeichnet sich durch eine sehr gut gestaltete Benutzeroberfläche und durch die außergewöhnliche Gier seiner Entwickler aus. Bereits der Start des Trojaners bringt den Besitzer des Telefons um sein Geld – und zwar um eine Summe, die zwischen neun US-Dollar und dem auf dem Konto des Mobilfunkbetreibers verfügbaren Gesamtbetrag liegen kann. Zudem besteht das Risiko, dass die Telefonnummer diskreditiert wird, da der Trojaner in der Lage ist, die Nummern aus dem Telefonbuch zu stehlen, um willkürliche Mitteilungen zu versenden. Trojan-SMS.AndroidOS.OpFake.bo richtet sich im Wesentlichen gegen russischsprachige Anwender und Nutzer in den GUS-Staaten. Auf Position sieben der Top 20 landete ein weiterer Schädling aus dieser Familie, der eine ähnliche Funktionalität besitzt.

Auf Rang drei befindet sich Trojan-SMS.AndroidOS.FakeInst.a. Dieser Trojaner hat sich wie OpFake im Laufe der letzten zwei Jahre von einem simplen SMS-Versender zu einem vollwertigen Bot entwickelt, der über verschiedene Kanäle gesteuert wird (unter anderem über Google Cloud Messaging). Der Schädling kann Geld vom Konto des Abonnenten stehlen und Mitteilungen an dessen Kontaktliste versenden.

Den vierten Platz belegt Trojan-SMS.AndroidOS.Agent.u, der erste Trojaner, der eine Sicherheitslücke in Android ausgenutzt hat, um die Rechte eines ‚Device Administrator‘ zu erlangen und auf diese Weise das Löschen seiner selbst ungemein erschwerte. Darüber hinaus kann Trojan-SMS.AndroidOS.Agent.u eingehende Anrufe verwerfen und selbstständig Anrufe tätigen. Die möglichen Verluste, die durch eine Infektion mit diesem Schädling verursacht werden können, betragen insgesamt neun US-Dollar für die Versendung mehrerer SMS.

97,5 Prozent aller Attacken auf mobile Plattformen entfielen im dritten Quartal 2013 auf Android. Das überrascht nicht, da diese Plattform zum einen populär und nach wie vor quelloffen ist. Zum anderen bietet sie selbst in ihren allerneusten Versionen die Möglichkeit, Anwendungen aus Drittquellen zu installieren.

Doch man darf auch Google nicht unrecht tun – auf einige schädliche Anwendungen reagiert das Betriebssystem nun selbst:


Das zeigt, dass sich die Entwickler eines der am weitesten verbreiteten mobilen Betriebssysteme darüber im Klaren sind, dass Android derzeit die Hauptzielscheibe für Malware darstellt, und dass sie zumindest versuchen sollten, dem irgendetwas entgegenzusetzen.

Statistik

Die unten stehenden Statistiken beruhen auf den Daten, die von verschiedenen Komponenten der Produkte von Kaspersky Lab gesammelt wurden. Alle im Bericht verwendeten statistischen Daten wurden mit Hilfe des verteilten Antiviren-Netzwerks Kaspersky Security Network (KSN) zusammengetragen und ausgewertet. Die Daten stammen von den KSN-Anwendern, die ihre Zustimmung zur Übertragung der Informationen gegeben haben. An dem globalen Informationsaustausch über die Virenaktivität nehmen Millionen von Anwendern von Kaspersky-Produkten aus 213 Ländern der Welt teil.

Bedrohungen im Internet

Die statistischen Daten in diesem Abschnitt basieren auf dem Modul Kaspersky Anti-Virus, das einen Computer in dem Moment schützt, in dem Schadcode von einer schädlichen oder infizierten Webseite geladen wird. Schädliche Webseiten werden von Cyberkriminellen speziell zu diesem Zweck erstellt. Infiziert sein können Webressourcen, deren Inhalt von den Nutzern selbst generiert wird (zum Beispiel Foren) sowie gehackte, legitime Ressourcen.

Im Internet aufgespürte Objekte

Im dritten Quartal 2013 wehrten die Lösungen von Kaspersky Lab 500.284.715 Attacken von Internet-Ressourcen ab, die sich in verschiedenen Ländern der Welt befinden.

Top 20 der Internet-Schädlinge

  Nombre* Prozentualer Anteil an allen Attacken*
1 Malicious URL 89,16%
2 Trojan.Script.Generic 3,57%
3 Adware.Win32.MegaSearch.am 2,72%
4 Trojan-Downloader.JS.Psyme.apb 1,19%
5 Trojan.Script.Iframer 1,10%
6 Exploit.Script.Blocker 0,37%
7 Trojan.Win32.Generic 0,35%
8 Trojan-Downloader.Script.Generic 0,28%
9 Trojan.JS.Iframe.aeq 0,15%
10 Adware.Win32.Agent.aeph 0,13%
11 Exploit.Java.Generic 0,11%
12 Trojan-Downloader.Win32.MultiDL.k 0,10%
13 Trojan-Downloader.Win32.Generic 0,10%
14 Exploit.Script.Generic 0,08%
15 Exploit.Script.Blocker.u 0,06%
16 WebToolbar.Win32.MyWebSearch.rh 0,06%
17 Packed.Multi.MultiPacked.gen 0,06%
18 Trojan-SMS.J2ME.Agent.kn 0,05%
19 Adware.Win32.Lyckriks.j 0,05%
20 Exploit.JS.Agent.bnk 0,04%

*Die Statistik basiert auf Daten von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.


** Anteil an allen Web-Attacken, die auf den Computern einzelner Anwender registriert wurden.

Dieses Rating zeigt erneut, dass Kaspersky Anti-Virus die meisten schädlichen Objekte bereits bei der URL-Überprüfung erkennt: 89,2 Prozent aller Alarme entfallen auf Links aus der Schwarzen Liste (Malicious URL, erster Platz).

Zehn von 20 Positionen im Kaspersky-Rating belegen alle erdenklichen Kategorien von Schadobjekten, die Cyberkriminelle auf irgendeine Art bei Drive-by-Attacken einsetzen – der beliebtesten Methode zur Einschleusung von Schadprogrammen über das Internet. Es handelt sich dabei sowohl um Objekte wie Trojan.Script.Generic, Trojan.Script.Iframer, Exploit.Script.Blocker, Trojan-Downloader.Script.Generic, Exploit.Java.Generic, Exploit.Script.Generic, die mit heuristischen Methoden aufgespürt werden, als auch um nicht heuristische Detektionen.

Von den nicht heuristischen Detektionen sind im aktuellen Rating Werbeprogramme am häufigsten anzutreffen, wobei ihr Anteil im Vergleich zum zweiten Quartal 2013 um 2,4 Prozentpunkte zugenommen hat.

Ein unerwarteter Teilnehmer des Ratings ist Trojan-SMS.J2ME.Agent.kn. Der Schädling richtet sich gegen die mobile Plattform Java Platform Micro Edition. Die Vertreter dieser Familie tauchten seit 2011 nicht mehr in den Top 20 auf. Die Funktionalität dieses mobilen Schädlings liegt im Versand von SMS an Premium-Nummern. Der Schädling verbreitet sich mit Hilfe von Spam-Mitteilungen in ICQ, die einen Link auf den Download einer Java-Anwendung enthalten, sowie über thematische Webseiten, auf denen mobile Apps zum Download angeboten werden. Klickt der Anwender auf einen solchen Link, wird das User-Agent-Feld überprüft, um festzustellen, welches Betriebssystem der Nutzer verwendet. Handelt es sich um Android, wird eine schädliche Android-App geladen. In allen anderen Fällen – auch wenn der Webbrowser eines normalen Computers verwendet wird – verschickten die Cyberkriminellen eine J2ME-Anwendung. Bei einem Klick auf so einen Link meldet Kaspersky Anti-Virus das Objekt Trojan-SMS.J2ME.Agent.kn.

Länder, auf deren Ressourcen die meisten Schadprogramme platziert sind

Die folgenden Statistiken basieren auf den physikalischen Standorten der Online-Ressourcen, die in den vom Kaspersky Security Network registrierten Angriffen benutzt wurden (zum Beispiel Webseiten mit Umleitungen auf Exploits, Webseiten mit Exploits und anderer Malware oder C&C von Botnetzen). Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen die Kaspersky-Experten die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

81,5 Prozent der Web-Ressourcen, die zur Verbreitung von Schadprogrammen genutzt wurden, befinden sich in zehn Ländern der Welt. Das ist ein um 1,5 Prozentpunkte geringerer Wert als im vorangegangenen Quartal.


Länder, auf deren Ressourcen die meisten Schadprogramme platziert sind. Drittes Quartal 2013

Im Länderrating nach Anzahl der blockierten schädlichen Hostings haben sich die Anteile aller Länder gegenüber dem zweiten Quartal nur geringfügig geändert. Die ersten vier Plätze belegen die USA (27,7 %), Russland (18,5 %), Deutschland (13,4 %) und die Niederlande (11,6 %). Auf diese Länder entfallen 70,15 Prozent aller schädlichen Hostings. Ausgeschieden aus den Top 10 sind China und Vietnam. Die Neuzugänge des Ratings sind Kanada (1,3 %) und die Jungferninseln (1,2 %) auf den Plätzen acht respektive neun.

Länder, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in verschiedenen Ländern ausgesetzt sind, hat das Kaspersky-Team für jedes Land berechnet, wie häufig Kaspersky Anti-Virus im Laufe des Quartals Alarm geschlagen hat.


20 Länder*, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind**. Drittes Quartal 2013

**Aus den Berechnungen haben die Kaspersky-Experten die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.

** Prozentualer Anteil von Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Gegenüber dem zweiten Quartal blieb die Zusammenstellung der Länder in dem Rating unverändert – bis auf das Erscheinen Deutschlands auf Platz zwölf (35,78 %) und das Ausscheiden Libyens aus der Hitliste.

Bemerkenswerterweise liegen die Werte aller Länder im dritten Quartal 2013 unter 50 Prozent. Beispielsweise kommt Russland, das den ersten Platz belegt, nur auf 49,66 Prozent. Dementsprechend war nicht ein einziges Land in der Gruppe mit dem höchsten Risiko vertreten, die von Ländern gebildet wird, in denen über 60 Prozent der Anwender mindestens einmal mit Schädlingen im Internet zu tun hatten.

Alle Länder lassen sich in verschiedene Gruppen einteilen.

  1. Gruppe mit erhöhtem Risiko. Zu dieser Gruppe mit Werten zwischen 41 und 60 Prozent gehören die ersten acht Länder aus den Top 20 (zwei weniger als im zweiten Quartal 2013). Nach wie vor sind hier Vietnam (43,45 %) und Länder aus dem postsowjetischen Raum vertreten: Russland (49,66 %), Kasachstan (49,22 %), Armenien (49,06 %), Aserbaidschan (48,43 %), Tadschikistan (45,40 %), Weißrussland (40,36 %) und die Ukraine (40,11 %).
  2. Risikogruppe. In dieser Gruppe mit Werten zwischen 21 und 40,99 Prozent sind 76 Länder vertreten, darunter Deutschland (35,78 %), Polen (32,79 %), Brasilien (30,25 %), die USA (29,51 %), Spanien (28,87 %), Katar (28,82 %), Italien (28,26 %), Frankreich (27,91 %), Großbritannien (27,11 %), Ägypten (26,30 %), Schweden (21,80 %), die Niederlande (21,44 %) und Argentinien (21,40 %).
  3. Gruppe der beim Surfen im Internet sichersten Länder. Zu dieser Gruppe zählten im dritten Quartal 2013 insgesamt 62 Länder mit Werten zwischen 10 und 21 Prozent.


Weltweites Risiko für Computer, sich über das Internet zu infizieren. Drittes Quartal 2013


Am seltensten während des Surfens im Netz angegriffen wurden die Anwender in Dänemark (17,01 %), Japan (17,87 %), Südafrika (18,69 %), Tschechien (19,68 %), in der Slowakei (19,97 %) und in Finnland (20,87 %).

Durchschnittlich 34,1 Prozent der Computer aller KSN-Anwender wurden im Laufe des Quartals mindestens einmal während des Surfens im Internet attackiert. Das bedeutet, dass der durchschnittliche Anteil der angegriffenen Rechner im Vergleich zum zweiten Quartal 2013 um 1,1 Prozentpunkte abgenommen hat.

Lokale Bedrohungen

In diesem Abschnitt präsentiert das Kaspersky-Team statistische Daten, die auf der Arbeit des Echtzeit-Scanners der Kaspersky-Lösungen basieren. Hinzu kommen Statistiken über den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand Scanner).

Auf den Computern entdeckte schädliche Objekte

Im dritten Quartal 2013 detektierten die Antiviren-Lösungen von Kaspersky Lab erfolgreich 476.856.965 lokale Objekte auf den Computern und Wechseldatenträgern der KSN-Teilnehmer.

Top 20 der auf den Computern entdeckten schädlichen Objekte

  Name Prozentualer Anteil*
1 Trojan.Win32.Generic 35,51%
2 DangerousObject.Multi.Generic 32,43%
3 Trojan.Win32.AutoRun.gen 13,56%
4 Adware.Win32.DelBar.a 11,80%
5 Virus.Win32.Sality.gen 9,52%
6 Adware.Win32.Bromngr.j 7,81%
7 Exploit.Win32.CVE-2010-2568.gen 7,56%
8 Adware.Win32.Bromngr.i 6,60%
9 Adware.Win32.Agent.aeph 6,55%
10 Worm.Win32.Debris.a 6,24%
11 Trojan.Win32.Starter.lgb 5,59%
12 Adware.Win32.WebCake.a 5,06%
13 Expoit.Script.Generic 4,31%
14 Trojan.WinLNK.Runner.ea 4,17%
15 Adware.Win32.Bandoo.a 4,00%
16 Virus.Win32.Generic 3,71%
17 Virus.Win32.Nimnul.a 3,67%
18 Trojan.Win32.Staser.fv 3,53%
19 Trojan.Script.Generic 3,52%
20 HiddenObject.Multi.Generic 3,36%


Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.

*Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen mit Kaspersky-Produkten ausgestatteten Computern, auf denen Kaspersky Anti-Virus Alarm geschlagen hat.

Nach wie vor dominieren drei Objekte dieses Rating.

Den ersten Platz belegt Trojan.Win32.Generic (35,51 %). Die heuristische Analysefunktion der Kaspersky-Lösungen gibt die dazugehörende Ereignismeldung im Rahmen der proaktiven Erkennung bei einer Vielzahl von Schadprogrammen aus.

Schadprogramme des Typs DangerousObject.Multi.Generic, die Kaspersky-Lösungen mit Hilfe von Cloud-Technologien erkennen, befinden sich mit einem Wert von 32,43 Prozent auf Position zwei. Die Cloud-Technologien greifen dann, wenn es in den Antiviren-Datenbanken bisher keine Signaturen gibt und keine Heuristiken zur Erkennung von Schadprogrammen zur Verfügung stehen, in der Cloud von Kaspersky Lab aber bereits Informationen über das Objekt vorhanden sind. Auf diese Weise werden die allerneuesten Schadprogramme erkannt.

Platz drei belegt Trojan.Win32.AutoRun.gen (13,56%). So werden Schadprogramme aufgespürt, die die Autostart-Funktion ausnutzen.

Länder, in denen Computer dem höchsten Infektionsrisiko ausgesetzt sind

Die unten aufgeführten Zahlen spiegeln das durchschnittliche Infektionsrisiko der Computer in den verschiedenen Ländern der Welt wider. Weltweit wurde bei fast jedem dritten KSN-Rechner (31,9 %) mindestens einmal eine schädliche Datei auf dem Computer oder einem Wechseldatenträger gefunden, der an den Computer angeschlossen war. Das sind zwei


Top 20 der Länder* nach Infektionsniveau der Computer**. Drittes Quartal 2013

* Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.

** Prozentualer Anteil von Anwender-PCs, auf denen lokale Bedrohungen blockiert wurden, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Bereits länger als ein Jahr belegen die ersten zwanzig Positionen dieses Ratings die Länder Afrikas, des Nahen Ostens und Südostasiens.

Auch bei den lokalen Infektionen lassen sich alle Länder hinsichtlich des Infektionsniveaus in verschiedene Gruppen einteilen:

  1. Maximales Infektionsniveau (über 60 %): In diese Gruppe fiel ausschließlich Vietnam (61,2 %).
  2. Hohes Infektionsniveau (41 bis 60 Prozent): 29 Länder, darunter Nepal (55,61 %), Bangladesch (54,75 %), Indien (51,88 %), Marokko (42,93 %) und die Philippinen (41,97 %).
  3. Mittleres Infektionsniveau (21bis 40,99 Prozent): 87 Länder, unter anderem Thailand (40,19 %), die Vereinigten Arabischen Emirate (39,86 %), die Türkei (38,41 %), Brasilien (36,67 %), China (36,07 %), Mexiko (34,09 %), Deutschland (24,31 %) und Großbritannien (21,91 %).
  4. Geringes Infektionsrisiko (bis 21 Prozent): 29 Länder, darunter die USA (20,36 %), Kanada (19,18 %), die Niederlande (18,39 %), Schweden (16,8 %), Japan (12,9 %) und Tschechien (12,65 %).


Risiko einer lokalen Infektion in verschiedenen Ländern. Drittes Quartal 2013

Top 10 der Länder, in denen die Computer dem geringsten Risiko einer Infektion über das Internet ausgesetzt sind

     Land Prozentualer Anteil
1 Dänemark 11,93 %
2 Tschechien 12,85 %
3 Japan 12,90 %
4 Finnland 14,03 %
5 Slowenien 14,93 %
6 Norwegen 15,95 %
7 Seychellen 16,32 %
8 Estland 16,46 %
9 Slowakei 16,72 %
10 Schweden 16,80 %

Im Vergleich zum zweiten Quartal 2013 gibt es in diesem Rating drei Neuzugänge – die Seychellen, Estland und die Slowakei, die an die Stellen von Irland, den Niederlanden und Martinique getreten sind.

Quelle:
Kaspersky Lab
Weiterführende Links
Weblog
Trojaner Ventir: Basteln Sie sich Ihren eigenen MacOS-Spion
Das Stuxnet-Echo: Unerwartete Untersuchungsergebnisse zu Angriffen mit Hilfe von Exploits zu Microsoft-Produkten
Ein Blick hinter das Verteilungsnetzwerk ‘AndroidOS.Koler’
Erster TOR-Trojaner unter Android
ChewBacca – eine neue Tor-basierte Malware
Artikel
Untersuchung von Einbruchsfällen in Online-Bezahlsysteme
Die Epic Turla Operation: Aufklärung einiger Mysterien rund um Snake/Uroburos
Entwicklung der IT-Bedrohungen im 2. Quartal 2014
Mobile Bedrohungen im Jahr 2013
Kaspersky Security Bulletin 2013/2014 – Prognosen
Viruslist-Nachrichten
Ist Ihr Server ein Bot?
Wichtige Virut-Domains beschlagnahmt
Binärdateien von Kelihos ziehen um
Glossarius
Botnetz
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen