Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
     
Most Popular Analysis



IoT: Wie ich einmal mein Zuhause hackte



Die Epic Turla Operation: Aufklärung einiger Mysterien rund um Snake/Uroburos



Spam und Phishing im zweiten Quartal 2014



Spam im Juli 2014



Kaspersky Security Bulletin 2013/2014 – Statistik für das Jahr 2013
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Finanzielle Cyberbedrohungen im Jahr 2013. Teil 2: Malware

9.04.2014   |   Ihr Kommentar

  1. Finanzielle Cyberbedrohungen im Jahr 2013, Teil 1: Phishing
  2. Finanzielle Cyberbedrohungen im Jahr 2013. Teil 2: Malware

Wichtigste Ergebnisse

Im Jahr 2013 ist die Zahl der Angriffe mit finanzieller Ausrichtung – sei es Phishing, seien es Attacken unter Verwendung von Malware – deutlich gestiegen. Das geht aus den Daten der Subsysteme der Produkte von Kaspersky Lab eindeutig hervor.

Die wichtigsten Zahlen aus der Untersuchung:

PC-Malware

  • Die Zahl der Cyberattacken unter Verwendung von Schadprogrammen, die auf den Diebstahl von Finanzdaten spezialisiert sind, stieg im Jahr 2013 um 27,6 Prozent und erreichte einen Gesamtwert von 28,4 Millionen. Die Zahl der angegriffenen Nutzer betrug 3,8 Millionen Personen – ein Anstieg von 18,6 Prozent innerhalb eines Jahres.
  • Der Anteil der Anwender, die in Finanzattacken unter Verwendung von Malware verwickelt waren, betrug im Jahr 2013 insgesamt 6,2 Prozent an allen angegriffenen Nutzern. Im Vergleich zum Jahr 2012 ist dieser Wert um 1,3 Prozentpunkte gestiegen.
  • Bei Malware mit finanzieller Ausrichtung haben sich solche Tools am stärksten weiterentwickelt, die mit der Kryptowährung Bitcoin zusammenhängen. Allerdings spielt nach wie vor Schadsoftware zum Gelddiebstahl von Bankkonten die Führungsrolle, wie zum Beispiel das Schadprogramm Zeus.

Mobile Malware

  • Der Umfang der Kaspersky-Lab-Datenbank mit schädlichen Android-Anwendungen zum Diebstahl von Finanzdaten hat sich innerhalb des zweiten Halbjahres 2013 fast verfünffacht – von 265 Samples im Juni auf 1.321 im Dezember des Jahres.
  • Im Jahr 2013 entdeckten die Kaspersky-Experten erstmals trojanische Programme für Android, die in der Lage sind, Geld von den Bankkonten der angegriffenen Nutzer zu stehlen.

Im Folgenden untersuchen wir die Angriffsdynamik sowie die Geografie und die Liste der Ziele eingehender.

Finanz-Malware

Programme zum Diebstahl von elektronischem Geld und von Finanzinformationen gehören zu den komplexesten Arten von Schadsoftware. Diese Programmklasse ermöglicht es Cyberkriminellen, ihre Mühen schnell in bare Münze umzuwandeln. Daher ist den Gangstern bei der Entwicklung von Finanz-Trojanern und Backdoors auch keine Anstrengung zu groß. Den Beobachtungen der Experten von Kaspersky Lab zufolge sind die Autoren von Schadsoftware bereit, zehntausende US-Dollar für Informationen über neue Sicherheitslücken zu zahlen – allein deswegen, um Anti-Malware-Produkte zu umgehen und der cyberkriminellen Konkurrenz einen Schritt voraus zu sein.

Im Jahr 2013 wehrten die Schutzlösungen von Kaspersky Lab 28,4 Millionen Attacken ab, bei denen Finanz-Malware verwendet wurde. Das sind 27,6 Prozent mehr als im Jahr zuvor. Die Zahl der mit Hilfe von derartiger Schadsoftware angegriffenen Nutzer ist ebenfalls gestiegen, und zwar um 18,6 Prozent auf 3,8 Millionen. Bei der Untersuchung haben wir die Attacken berücksichtigt, die mit Hilfe von Banken-Trojanern, Tastaturspionen, Software zum Raub von virtuellen Bitcoin-Wallets sowie mit Hilfe von Programmen zur Generierung dieser virtuellen Währung durchgeführt wurden.

Der Anteil der Programme zum Diebstahl und Betrug an der Gesamtmenge der Schadprogramme ist relativ gering – auf sie entfielen im Jahr 2013 insgesamt 0,44 Prozent aller Attacken. Das sind jedoch rund 0,12 Prozentpunkte mehr als im Jahr zuvor. Was die Anzahl der Anwender betrifft, ist der Anteil der finanziellen Cyberbedrohungen allerdings bedeutender: Von den Personen, die Angriffen von Schadprogrammen aller Art ausgesetzt waren, hatten es 6,2 Prozent mit der einen oder anderen „finanziellen“ Spielart gefährlicher Programme zu tun. Gegenüber dem Jahr 2012 ist dieser Wert um 1,3 Prozentpunkte gestiegen.

Von Finanz-Malware angegriffene Nutzer im Jahr 2013

Im Jahr 2013 betraf Malware mit Finanz-Spezialisierung 6,2 Prozent aller Anwender, die im Visier von Schadprogrammen standen.

Zwischen der Zahl der Attacken und der Menge der angegriffenen Anwender gibt es nur eine geringe Korrelation. In der Zeit von Anfang 2012 bis Ende 2013 änderte sich die Zahl der Attacken pro Monat um Dutzende Prozente. Im Frühjahr 2012 ging sie stark zurück und kehrte erst im Herbst 2013 auf das ursprüngliche Niveau zurück. Allerdings war die Zahl der angegriffenen Anwender nicht so starken Schwankungen unterworfen, und zeigte praktisch monatlich eine positive Dynamik.

Finanz-Malware: Attacken und angegriffene Nutzer in den Jahren 2012 und 2013

Die Zahl der Anwender, die von finanzieller Malware angegriffen wurden, stieg im Laufe des Jahres 2013.

Der Rückgang der Attacken im Frühjahr 2012 könnte mit der Beendigung der Tätigkeit einiger cyberkrimineller Gruppen zusammenhängen. Der Anstieg der Angriffe in der zweiten Jahreshälfte 2013 lässt sich möglicherweise wiederum mit mehreren Faktoren erklären: Die Online-Verbrecher entdeckten neue gefährliche Sicherheitslücken in der Software Oracle Java, wodurch die Zahl der Attacken zunahm. Zudem wurden aufgrund des Kursanstiegs von Bitcoin solche Programme aktiviert, die mit dieser Kryptowährung gefüllte elektronische Brieftaschen stehlen.

Bedrohungsgrenzen: Geografie der Attacken und der angegriffenen Nutzer

Bei den Ländern, die in den Jahren 2012 und 2013 am häufigsten Angriffen von Finanz-Malware ausgesetzt waren, führt Russland mit über 37 Prozent der Attacken. Der Anteil keines anderen Landes überstieg im Untersuchungszeitraum auch nur die Zehnprozentmarke.

Die in den Jahren 2012 und 2013 am häufigsten angegriffenen Länder

Innerhalb von zwei Jahren entfielen auf die Top 10 der Länder etwa 70 Prozent aller Finanz-Attacken.

Russland ist auch hinsichtlich der Zunahme der Attacken Spitzenreiter. Allerdings ging die Zahl der Anwender, die dort im Laufe des Jahres 2013 angegriffen wurden, etwas zurück. Dagegen beobachtete das Kaspersky-Team in den meisten anderen Ländern aus den Top 10 einen Anstieg.

Geografie der Attacken mit Finanz-Malware

Geografie der mit Finanz-Malware angegriffenen Nutzer

Die Zahl der Anwender, die von Finanz-Malware angegriffen wurden, stieg innerhalb eines Jahres in acht Ländern aus den Top 10.

Die Nutzer in Russland waren am häufigsten dem Risiko einer Finanz-Attacke ausgesetzt – im Jahr 2013 wurde jede Person, deren Finanzen Cyberkriminelle interessierten, durchschnittlich 14,5-Mal angegriffen. Bei den US-Bürgern war es nur etwas über 8-Mal.

Land Zahl der Attacken mit Hilfe von Finanz-Malware Dynamik innerhalb eines Jahres Durchschnittliche Anzahl der Attacken auf einen Anwender
Russische Föderation 11 474 000+ 55,28% 14,47
Türkei 899 000+ 156,41% 9,22
USA 1 529 000+ -22,76% 8,08
Vietnam 1 473 000+ 65,08% 6,43
Kasachstan 517 000+ -26,88% 6,15
Italien 593 000+ -32,05% 5,61
Indien 1 600 000+ 65,03% 4,47
Ukraine 401 000+ -7,54% 4,07
Deutschland 747 000+ -0,73% 3,9
Brasilien 553 000+ -21,02% 3,87

Die durchschnittliche Zahl der Attacken auf jeden Einwohner eines Landes, der im Jahr 2013 zum Ziel von Finanz-Malware wurde

Unter den nach der Zahl der Cyberattacken führenden Ländern waren Unterarten von finanziellen Online-Bedrohungen am häufigsten in der Türkei und in Brasilien anzutreffen. Der Anteil der Anwender, die in diesen Ländern Finanz-Attacken ausgesetzt waren, betrug zwölf Prozent beziehungsweise 10,5 Prozent an der Gesamtzahl aller Anwender, die es im Jahr 2013 mit Schadprogrammen zu tun hatten. In Russland betrug dieser Wert etwas mehr als sechs Prozent, und in den USA wurde nur jeder Dreißigste der Angegriffenen von der einen oder anderen finanziellen Cyberbedrohung attackiert.

Land Von Finanz-Malware angegriffene Anwender Dynamik innerhalb eines Jahres Prozentualer Anteil an den Anwendern, die von beliebiger Malware angegriffen wurden
Türkei 97 000+ 37,05% 12,01%
Brasilien 143 000+ 29,28% 10,48%
Kasachstan 84 000+ 5,11% 8,46%
Italien 105 000+ 20,49% 8,39%
Vietnam 229 000+ 31,77% 7,4%
Indien 358 000+ 59,1% 6,79%
Russische Föderation 792 000+ -4,99% 6,16%
Ukraine 98 000+ 22,73% 6,08%
Deutschland 191 000+ 43,22% 5,52%
USA 189 000+ 22,30% 3,1%

Anwender, die im Jahr 2013 von Finanz-Malware angegriffen wurden und ihr Anteil an allen Einwohnern aus demselben Land, die mit beliebiger Schadsoftware konfrontiert waren

Betrachtet man das globale Bild, so wird deutlich, dass der Anteil der Finanz-Attacken in China, den USA, Kanada und vielen europäischen Staaten relativ gering ist. Die nach diesem Wert führenden Länder wie die Mongolei, Kamerun, die Türkei und Peru sind über den ganzen Globus verteilt.

Prozentualer Anteil der User, bei denen im Jahr 2013 Finanz-Malware gefunden wurde, an der Gesamtzahl der User, die im gleichen Jahr von Malware angegriffen wurden

Kenne Deinen Feind: Arten von Finanz-Malware

Um zu verstehen, welche Schadsoftware, die hinter dem Geld der Nutzer her ist, die Bedrohungslandschaft im vergangenen Jahr definiert hat, haben die Experten von Kaspersky Lab die Werkzeuge der Cyberkriminellen in verschiedene Kategorien aufgeteilt. Für diese Untersuchung wurden mehr als dreißig der auffallendsten Malware-Samples ausgewählt, die bei Finanzattacken eingesetzt werden. Diese Auswahl haben wir in Abhängigkeit von der Funktion der Programme und ihren Zielen in vier Gruppen eingeteilt: Bank-Malware, Tastaturspione (Keylogger), Tools zum Diebstahl von Bitcoin-Wallets und Installationsprogramme für Software zum generieren von Bitcoins.

Die zahlenmäßig größte Gruppe ist die Bank-Maleware. Dieser Typ schließt Trojaner und Backdoors zum Diebstahl von Geld wie auch von Informationen mit ein, die für den Geldraub unerlässlich sind. Neben anderen Schadprogrammen gehören auch die bekannten Banken-Schädlinge Zbot, Carberp und SpyEye in diese Kategorie.

Attacken mit Finanz-Malware im Jahr 2013

Die Vertreter der zweiten Kategorie, Tastaturspione oder Keylogger, sind für den Diebstahl von vertraulichen Informationen konzipiert, darunter auch solche finanzieller Natur. Häufig stellen auch Bank-Trojaner eine solche Funktionalität zur Verfügung, während separate Keylogger als selbstständige Tools zunehmend aus der Mode kommen. Am beliebtesten unter ihnen ist der Keylogger Ardamax.

Die anderen beiden Typen von Schadsoftware hängen mit der Kryptowährung Bitcoin zusammen, die in den letzten Jahren zu einer begehrten Beute Online-Krimineller geworden ist. Zu diesen Schadprogrammen gehören Tools zum Diebstahl von Bitcoin-Wallets und zur verborgenen Installation von Anwendungen zum Bitcoin-Schürfen auf einem infizierten Computer.

Zum ersten Typ zählen Schadprogramme, welche die Wallet-Datei stehlen, die Informationen zum jeweiligen Bitcoin-Nutzer enthält. Der zweite Typ ist etwas schwieriger zu klassifizieren: Für die Installation von Anwendungen zur Generierung von Bitcoins („Mining“ oder „Schürfen“) kann praktisch jedes beliebige Schadprogramm verwendet werden, das in der Lage ist, neue Programme auf den Computer zu laden, ohne dass der Anwender es merkt. Daher wurden für unsere Analyse nur solche Samples ausgewählt, die nachgewiesenermaßen am Download und Start von Mining-Tools beteiligt waren.

Anzumerken wäre noch, dass eine solche Einteilung keine absolute Genauigkeit für sich beansprucht. Beispielsweise kann ein und derselbe Keylogger sowohl zum Diebstahl von Finanzinformationen als auch zum Diebstahl von Accounts bei Online-Games eingesetzt werden. Allerdings verfügen Schadprogramme normalerweise auch immer über die eine oder andere „Spezialisierung“, mit deren Hilfe dann der überwiegende Teil von Gesetzesbrüchen begangen wird. Das wiederum ermöglicht es den Kaspersky-Experten, diese Programme mit einem bestimmten Typ von Cyberverbrechen in Zusammenhang zu bringen – in diesem Fall mit Finanzdiebstahl.

Bank-Malware weit vorn

Bei den Finanzbedrohungen spielt im Jahr 2013 die Bank-Malware die Hauptrolle – Schadsoftware, die darauf spezialisiert ist, Geld von den Konten der Anwender zu stehlen. Innerhalb eines Jahres entfielen auf sie etwa 19 Millionen Cyberattacken, was zwei Drittel aller Finanz-Attacken mit Hilfe von Malware ausmacht.

Gegen Ende des Jahres 2013 näherte sich der monatliche Gesamtanteil der Anwender, die von Programmen zum Diebstahl von Bitcoin und Downloadern von Bitcoin-Minern angegriffen werden, dem Anteil der Bank-Malware an

Die sowohl nach Zahl der Attacken als auch nach Anzahl der angegriffenen Anwender aktivste Bank-Malware war das trojanische Programm Zbot (Zeus). Die Zahl der Attacken, die auf seine Modifikationen entfallen, hat sich innerhalb eines Jahres mehr als verdoppelt, und die Zahl der von ihnen angegriffenen Nutzer überstieg im vergangenen Jahr die Summe der Werte aller anderen Bank-Malware aus den Top 10.

Zbot, 2012-2013

Im Jahr 2011 wurde der Quellcode von Zbot öffentlich zugänglich gemacht, und auf seiner Grundlage wurden und werden immer neue Malware-Varianten entwickelt, was natürlich auch Einfluss auf die Angriffsstatistik hat. Zbot ist zudem dafür bekannt, dass die Plattform Citadel auf seiner Basis entwickelt wurde – in dem Versuch, die Prinzipien der kommerziellen Software auf die Entwicklung von Schadprogrammen zu übertragen. Die Nutzer von Citadel konnten nicht nur einen Trojaner kaufen, sondern erhielten auch technische Unterstützung und regelmäßige Updates, die die Entdeckung durch Antiviren-Lösungen verhindern sollten. Des Weiteren wurde auf den Web-Ressourcen von Citadel ein Hacker-Forum eingerichtet, wo Anfragen nach der Integration neuer Funktionen hinterlassen werden konnten. Anfang Juni 2013 gab Microsoft gemeinsam mit dem FBI eine Erklärung über die Zerschlagung mehrerer großer Botnetze heraus, die zu Citadel gehörten – ein großer Sieg im Kampf gegen das Cyberverbrechen. Die Statistik von Kaspersky Lab zeigt jedoch, dass dieses Ereignis keinen allzu großen Einfluss auf die Verbreitung von Schadsoftware hatte, die auf den Diebstahl von Finanzdaten spezialisiert ist.

Der deutliche Rückgang der Attacken durch den Trojaner Qhost kann mit der Verhaftung seiner Entwickler zusammenhängen, die den Kunden einer russischen Großbank im Jahr 2011 um die 400.000 US-Dollar stahlen. Die Autoren dieses Schadprogramms wurden noch im Jahr 2012 verurteilt, was der weiteren Verbreitung der Bedrohung allerdings keinen Abbruch tat. Die relativ einfache Konfiguration und Bedienung dieser Malware zieht immer neue Verbrecher an.

Qhost, 2012-2013

Die Zahl der Attacken des Trojaners Carberp ging in der ersten Jahreshälfte 2013 zurück, nachdem im Frühjahr verschiedene Nutzer des Trojaners verhaftet worden waren, darunter vermutlich auch seine Entwickler. Allerdings kam es im Sommer wieder zu einem deutlichen Anstieg, der einen Vergleich der Carberp-Werte der letzten zwölf Monate mit denen des Jahres 2012 zulässt. Das hängt unter anderem mit der Veröffentlichung des Quellcodes dieses Schädlings zusammen, die den Impuls zur Entwicklung neuer Schädlingsvarianten gab. Doch die Zahl der von den Modifikationen dieser Malware angegriffenen Nutzer ist im Laufe des Jahres trotzdem mehrfach gesunken.

Carberp, 2012 und 2013

Die allgemeine Tendenz liegt auf der Hand: Nach der relativ ruhigen Phase in der zweiten Jahreshälfte 2012 wurden die Betrüger, die sich auf den Einsatz von Finanz-Malware spezialisiert haben, im Jahr 2013 erneut aktiv. Das zog eine Zunahme der Attacken und der angegriffenen Anwender nach sich.

Zahl der Attacken mit Bank-Malware, 2012 und 2013

* „Trojan-Banker“ ist ein allgemeiner Eintrag in den Datenbanken von Kaspersky Lab, dem heuristische Regeln zur Erkennung von Finanz-Malware zugrunde liegen.

Bitcoin: Money for nothing?

Bitcoin ist eine elektronische Kryptowährung, die dank seiner Nutzer keiner staatlichen Regulierung unterworfen ist. Das verteilte Netzwerk, das das Funktionieren von Bitcoin gewährleistet, wurde im Jahr 2009 gestartet. Ursprünglich nutzten hauptsächlich IT-Spezialisten diese Währung, doch nach und nach erlangte sie auch allgemeine Bekanntheit. Durch die immer größere Popularität der Währung war es schließlich möglich, mit ihr auf großen Web-Ressourcen zu zahlen, die mit illegalen Waren handeln. Dort wird Bitcoin wegen seiner Anonymität bevorzugt.

Eine Darstellungsvariante der Bitcoin-Wallet auf Papier

In der Theorie kann jeder Interessierte Bitcoins erhalten, indem er die Rechenleistung seines Computers einsetzt – dieser Prozess nennt sich Mining. Das Wesen des Minings besteht im Lösen einer Reihe von kryptografischen Aufgaben, wodurch die Funktionsfähigkeit des Bitcoin-Netzwerks aufrechterhalten wird.

Viele Bitcoin-„Krösusse“ haben ihr Vermögen bereits verdient, als die Währung noch im Werden war und noch nicht als Zahlungsmittel anerkannt wurde. Je bekannter und beliebter die Kryptowährung allerdings wird, desto schwieriger wird es, Bitcoins mit Hilfe von Rechenleistung zu schürfen. Das ist eine der Besonderheiten des Systems – neben der maximal möglichen Geldmenge, die in Umlauf gebracht wird. Derzeit ist die Komplexität der geforderten Berechnungen derart gestiegen, dass das Bitcoin-Mining auf gewöhnlichen Computern nicht mehr rentabel ist. Der potenzielle Gewinn würde gerade die Ausgaben für den benötigten Strom decken.

Der Bitcoin-Kurs lag zu Beginn des Jahres 2013 bei 13,6 US-Dollar. Im Dezember stieg er auf ein historisches Hoch und durchbrach dabei die Marke von 1.200 US-Dollar

Im Laufe des Jahres stieg der Bitcoin-Kurs fieberhaft an und landete Ende Dezember bei einem Rekordhoch von über 1.200 US-Dollar. Daraufhin fiel der Kurs aufgrund der angespannten Haltung der Zentralbanken einiger Länder gegenüber dieser Währung wieder. So führte beispielsweise das Verbot der chinesischen Volksbank, die Bitcoin-Börsen zu bedienen, zum Absturz des Kurses um etwa ein Drittel. Gleichzeitig ist man in anderen Ländern dem Bitcoin durchaus zugetan. So hat der deutsche Finanzminister die Kryptowährung als offizielles Zahlungsmittel anerkannt und in Kanada und den USA werden sogar Geldautomaten aufgestellt, an denen sich Bitcoins in Bargeld verwandeln lassen.

Mit anderen Worten hat sich der Bitcoin also innerhalb nur weniger Jahre von einem Internet-Phänomen, das zunächst nur von einer kleinen Gruppe von Enthusiasten unterstützt wurde, in eine zwar nicht vollwertige Geldeinheit, aber doch in eine virtuelle Größe verwandelt, die einen realen Wert darstellt und sich einer Nachfrage auf dem Schwarzmarkt erfreut. Selbstverständlich konnte dieser Umstand nicht der Aufmerksamkeit der Cyberkriminellen entgehen. Seitdem Bitcoins an Internet-Börsen mit realem Geld gehandelt werden, und immer mehr Verkäufer diese Währung als Zahlungsmittel akzeptieren, interessiert sich auch die Cyber-Unterwelt in zunehmendem Maße dafür.

Bitcoins werden auf dem Computer in einer speziellen Brieftaschen-Datei gespeichert (wallet.dat oder anders, abhängig von der verwendeten Anwendung). Wenn diese Datei nicht verschlüsselt ist, und es einem Verbrecher gelingt, sie zu stehlen, so kann er den Inhalt ungehindert in seine Wallet überweisen. Das Bitcoin-Netz ermöglicht es jedem Teilnehmer, auf die Chronik der Operationen zuzugreifen, die von jedem beliebigen Anwender durchgeführt werden. Das heißt, es lässt sich verfolgen, in welche Wallet das gestohlene Geld überwiesen wurde. Doch da Bitcoins von niemandem reguliert werden, hat es auch keinen Sinn, sich bei irgendjemandem über einen Diebstahl zu beschweren.

Neben dem Diebstahl von Bitcoin können Online-Gauner die Computer ihrer Opfer zum Mining der „Münzen“ benutzen, in etwa so, wie sie sie auch zum Spam-Versand oder für andere schädliche Aktivitäten einsetzen. Außerdem verlangen bekannte Erpresser-Programme Lösegeldzahlungen in Bitcoins für die Entschlüsselung der chiffrierten Anwenderdaten.

Die folgende Grafik zeigt die Dynamik von Angriffen unter Verwendung von schädlichen Tools für den Diebstahl von Bitcoin-Wallets sowie von „multifunktionaler“ Malware, die Mining-Programme installiert. Darin enthalten sind Fälle, in denen die Kaspersky-Lösungen Anwendungen zum Bitcoin-Mining auf dem Computer gefunden haben, die sowohl vom Anwender selbst installiert worden sein können oder ohne sein Wissen auf den Computer eingeschleust wurden. Die Produkte von Kaspersky Lab ordnen die Anwendungen zum Mining der Kategorie RiskTool zu. Das bedeutet, dass diese Anwendungen über eine potenziell gefährliche Funktionalität verfügen, vor der der Anwender gewarnt wird.

Wie die Grafik zeigt, begann die Zahl der Alarme der Schutzprodukte von Kaspersky Lab aufgrund von räuberischen Programmen oder Downloadern von Programmen zum Bitcoin-Mining in der zweiten Jahreshälfte 2012 zu steigen. Eine noch interessantere Dynamik war im Jahr 2013 zu beobachten. Eine der zwei höchsten Spitzen bei den Alarmen in Verbindung mit Bitcoin-Malware entfiel beispielsweise auf den April. Ungefähr zu dieser Zeit stieg der Kurs der Währung auf über 230 US-Dollar. Offensichtlich hatte der Kursanstieg Cyberkriminelle dazu motiviert, in noch größerem Stil Malware zu verbreiten, die auf den Diebstahl oder das Schürfen von Bitcoins spezialisiert ist.

Übrigens fiel der Preis für die Währung im April 2013 auch gleich wieder steil auf 83 US-Dollar ab. Auf diesen Absturz folgte eine Erholung auf 149 US-Dollar zum Ende des Monats und eine Stabilisierung im Mai 2013. Von Mai bis August 2013 hielt sich der Bitcoin auf einem Niveau zwischen 90 und 100 US-Dollar, und im August begann der Kurs dann stetig zu steigen. Dieser Prozess korrespondierte leicht mit der Situation an der Malware-Front. Allerdings ist nicht ausgeschlossen, dass gerade die Stabilisierung des Bitcoin-Kurses die neue Angriffswelle im August 2013 provozierte. Eine weitere Angriffswelle fiel in den Dezember 2013. Der Bitcoin-Kurs sank in diesem Monat erneut drastisch – von 1.000 auf 584 US-Dollar –, stieg daraufhin aber ebenso steil wieder an und erreichte zum Ende des Monats einen Wert von 804 US-Dollar.

Ab April 2013 stieg auch die Zahl der Alarme der Kaspersky-Lab-Produkte, die auf schädliche Software zur Generierung von Bitcoins reagieren. Diese Zunahme setzte sich bis in den Oktober fort, im November 2013 ging die Zahl der Alarme dann zurück.

Verglichen mit 2012 stieg im Jahr 2013 sowohl die Zahl der Alarme der Kaspersky-Lab-Produkte als auch die Zahl der Nutzer um ein vielfaches, die mit schädlicher oder potenziell schädlicher Software im Zusammenhang mit Bitcoin konfrontiert waren. Bemerkenswert ist auch, dass die Zahl der Alarme wegen schädlicher Programme, die Software zum Bitcoin-Schürfen installieren, abgenommen hat, und die Zahl der Alarme vor Anwendungen, die Wallets stehlen, im Gegenzug gestiegen ist. Das könnte eine Folge der oben erwähnten Besonderheit der Bitcoin-Währung sein – je mehr „Geld“ im System generiert wird, desto schwieriger wird es, neues zu schaffen. Das mag auch die Online-Gangster dazu bewogen haben, sich auf die Suche und den Raub von Bitcoin-Wallets mit bereits generierter Kryptowährung zu konzentrieren.

Programme, die auf den Diebstahl von Finanzinformationen spezialisiert sind, gehören zweifellos zu den gefährlichsten Malware-Arten überhaupt. Die Gefahr steigt unter anderem aufgrund der ungeheuren Menge der potenziellen Opfer derartiger Software. Praktisch jeder Inhaber einer Kreditkarte, der mit einem schlecht geschützten Computer ins Internet geht, kann den Cyberkriminellen an den Haken gehen. Allerdings sind Computer und Notebooks bei Weitem nicht die einzigen Geräte, von denen die Anwender Finanztransaktionen durchführen. Praktisch jeder moderne Mensch setzt heute auch ein Smartphone oder Tablet ein. Und für Cyberverbrecher sind diese Geräte ein weiteres Schlupfloch in die Tasche des Nutzers von Finanz-Dienstleistungen.

Mobile Finanz-Bedrohungen

Lange Zeit waren mobile Geräte für Cyberkriminelle eine Terra Incognita. Zum großen Teil hängt das mit der begrenzten Auswahl an Funktionen der mobilen Geräte der ersten Generationen zusammen, und mit den Schwierigkeiten, die mit dem Programmieren von mobiler Software verbunden sind. Doch durch das Erscheinen von Smartphones und Tablets – multifunktionalen Werkzeugen mit Internetanschluss – und durch die allgemein verfügbaren Tools zum Entwickeln von Anwendungen hat sich alles geändert. Schon seit mehreren Jahren in Folge registrieren die Experten von Kaspersky Lab jährlich eine Zunahme der Schadprogramme, die sich gegen mobile Geräte richten, in erster Linie gegen solche unter Android.

Im Jahr 2013 war Android das Hauptziel von Malware-Attacken. 98,1 Prozent aller mobilen Schädlinge, die im Jahr 2013 entdeckt wurden, richteten sich gegen diese Plattform, was sowohl von der Popularität dieses mobilen Betriebssystems als auch von Verwundbarkeit seiner Architektur zeugt.

Mobile Malware im Jahr 2013

Dabei ist die Mehrheit der mobilen Schadprogramme darauf spezialisiert, den Anwendern Geld zu stehlen. Das ist der Tätigkeitsbereich von Trojan-SMS, von vielen Backdoors und einem Teil der Schadprogramme aus der Kategorie Trojan. Eine der gefährlichsten Tendenzen des Jahres 2013 im Bereich mobile Malware ist die Zunahme von Schadsoftware, die Zugriffsdaten für Online-Banking-Systeme und Geld stiehlt.

Samples von mobiler Banking-Malware in der Kaspersky-Lab-Datenbank im Jahr 2013

Die Zahl derartiger Schadprogramme begann ab Juli deutlich zu steigen und erreichte im Dezember einen Wert von über 1.300 Exemplaren. Ungefähr zu diesem Zeitpunkt begann auch die Zahl der Attacken zuzunehmen, die von den Kaspersky-Lab-Produkten blockiert wurden.

Attacken mit mobiler Banking-Malware in der zweiten Jahreshälfte 2013

Mobile Schadprogramme, die sich gegen Kunden von Online-Banking-Systemen richten, gab es auch schon früher. ZitMo (der mobile „Bruder“ des berüchtigten Win32-Banken-Trojaners Zeus) ist schon seit 2010 bekannt, allerdings wurde er nicht in massenhaften Attacken verwendet, unter anderem wegen seiner spezifischen Funktionalität: ZitMо funktioniert nur in Kombination mit dem Desktop-Schädling Zeus. Der „Beifahrer“ fängt Benutzername und Kennwort für die Anmeldung beim Online-Konto ab. Die Hauptfunktion von ZitMo besteht darin, das Einmal-Passwort (mTAN) zur Bestätigung einer Finanztransaktion abzufangen und an die Cyberkriminellen weiterzuleiten, die diese Daten dann dazu benutzen, dem Kontoinhaber Geld zu stehlen.

Ein solches Betrugsschema kam auch im Jahr 2013 zur Anwendung. In diesem Fall zogen die größten Konkurrenten von Zeus mit ihren „kleinen Brüdern“ ins Feld: SpyEye (mit SpitMo) und Carberp (mit CitMo). Allerdings wurden auch sie nur in einer unbedeutenden Zahl von Attacken registriert. Das könnte unter anderem damit zusammenhängen, dass auf dem Schwarzmarkt für Cyberbedrohungen mittlerweile „autonomere“ Trojaner erschienen sind, die auch ohne „Beifahrer“ funktionieren.

Ein Beispiel für derartige Software ist das trojanische Programm Svpeng, das die Kaspersky-Experten im Juli 2013 entdeckten. Dieser Trojaner macht sich eine Besonderheit einiger russischer mobiler Banking-Systeme zunutze, um Geld vom Bankkonto des Opfers zu stehlen.

In Russland bieten einige Großbanken ihren Kunden die Möglichkeit, das Konto des Mobiltelefons durch Überweisung von ihrer Kreditkarte aufzufüllen. Zu diesem Zweck muss der Bankkunde lediglich eine SMS mit einem bestimmten Inhalt von seinem Smartphone an eine spezielle Nummer der Bank senden. Svpeng schickt Kurznachrichten an die Adresse von SMS-Diensten zweier solcher Banken. Auf diese Weise erfährt der Betreiber von Svpeng, ob mit der Nummer des infizierten Smartphones eine Karte dieser Bank zusammenhängt, und er erhält bei Vorhandensein eines Bankkontos Informationen über den Kontostand. Daraufhin kann der Online-Kriminelle Svpeng den Befehl erteilen, Geld vom Bankkonto auf das mobile Konto des Opfers zu überweisen.

Gefälschtes Autorisierungs-Interface von Svpeng

Im Folgenden gibt es verschiedene Möglichkeiten, Geld vom mobilen Konto abzuziehen, beispielsweise durch Überweisung in eine elektronische Brieftasche über den persönlichen Bereich im System der Telefongesellschaft, oder durch das banale Versenden von Mitteilungen an eine Premium-Nummer. Darüber hinaus verfügt Svpeng über Funktionen zum Diebstahl von Login-Daten für Online-Banking-Systeme.

Zwei weitere Beispiele für gefährliche Bank-Trojaner, die Kaspersky Lab entdeckt hat, sind Perkele und Wroba. Der erste funktioniert wie ZitMo – seine Hauptfunktion besteht im Abfangen von Einmal-Passwörtern zur Bestätigung von Transaktionen. Der zweite Trojaner sucht auf einem infizierten mobilen Gerät nach Online-Banking-Anwendungen, löscht diese und lädt gefälschte Kopien, mit Hilfe derer er Authentifizierungsdaten sammelt und diese dann an die Cyberkriminellen sendet.

Die meisten Angriffe mit Hilfe mobiler Bank-Trojaner registrierte Kaspersky Lab im Jahr 2013 in Russland und den daran angrenzenden Ländern. Doch beispielsweise hat Perkele nicht nur die Kunden russischer, sondern auch einiger europäischer Banken angegriffen, und Wroba ist auf südkoreanische User spezialisiert.

Geografische Verteilung der Angriffe mit Hilfe schädlicher Bank-Malware für Android im Jahr 2013

Das Ausmaß der Attacken von schädlicher Finanz-Software auf mobile Geräte, die von den Kaspersky-Lab-Produkten geschützt werden, ist bisher in absoluten Zahlen ausgedrückt noch nicht besonders groß. Doch seit über einem halben Jahr ist eine eindeutig steigende Tendenz zu beobachten. Das bedeutet für die Nutzer mobiler Geräte, insbesondere solcher unter Android, dass sie die Sicherheit ihrer Finanzdaten unbedingt fest im Blick behalten sollten.

Auch die Nutzer von iOS-Geräten sollten wachsam sein. Zwar gab es noch keine Welle von Schadprogrammen, die auf den Diebstahl vertraulicher Daten von iPhone- und iPad-Besitzern spezialisiert sind. Doch in diesem Betriebssystem werden regelmäßig Fehler gefunden, die die Entwicklung solcher Malware ermöglichen. Eines der jüngsten Beispiele ist ein Bug, der von Forschern Ende Februar 2014 entdeckt wurde, und der es ermöglichte, die Symbole zu identifizieren, die der Anwender über die virtuelle Tastatur des Geräts eingibt. Unter Ausnutzung dieser Sicherheitslücke hätten Kriminelle unter anderem die Login-Daten für Online-Banking-Systeme abgreifen können.

Fazit: Geben Sie Acht auf Ihre digitale Brieftasche

Die Untersuchung von Kaspersky Lab hat anschaulich gezeigt, dass sich das elektronische Geld der User in ständiger Gefahr befindet. Wenn der Anwender sein Konto online verwaltet oder in Webshops einkauft, liegen Cyberkriminelle immer und überall auf der Lauer.

Alle Arten von Finanzbedrohungen haben im Jahr 2013 deutlich zugenommen. Der Anteil der Phishing-Attacken unter Verwendung von Bankennamen hat sich verdoppelt. Die Zahl der Finanzattacken unter Verwendung von Malware ist um ein Drittel gestiegen.

Im Segment der Finanz-Malware gab es keine Neuheiten, die geeignet wären, Zbot und Qhost den Rang abzulaufen. Diese und andere wohl bekannte Trojaner waren für die Mehrheit der Attacken im vergangenen Jahr verantwortlich. Allerdings demonstrierten die Online-Gangster einmal mehr, wie feinsinnig sie auf Konjunkturänderungen reagieren. Die bereits im Jahr 2012 begonnene explosionsartige Zunahme von Attacken, die auf den Diebstahl von Bitcoins ausgerichtet sind, setzte sich auch im Jahr 2013 fort.

Die Kaspersky-Experten geben die folgenden Empfehlungen zur Verstärkung des Schutzes vor finanziellen Cyberbedrohungen:

Empfehlungen für Unternehmen

  • Auf der Geschäftswelt ruht ein bedeutender Teil der Verantwortung für die Sicherheit der Anwender. Finanzunternehmen müssen ihre Kunden über die Bedrohungen aufklären, die von Cyberverbrechern ausgehen, und ihnen Ratschläge geben, wie sie Verluste durch Online-Kriminalität vermeiden können.
  • Banken und Bezahlsysteme sollten ihre Kunden mit einem komplexen System vor Kriminellen schützen. Ein Beispiel für eine solche Lösung ist die Plattform Kaspersky Fraud Prevention, die einen vielschichtigen Schutz vor Betrügern bietet.

Empfehlungen für Heimanwender und Nutzer von Online-Banking-Systemen

  • Die Autoren von Schadsoftware setzen häufig auf Sicherheitslücken in populären Programmen. Daher sollte man immer nur die allerneuesten Versionen von Anwendungen benutzen und umgehend das Betriebssystem aktualisieren, sobald Updates verfügbar sind.
  • Die Einhaltung der grundlegenden Sicherheitsregeln für die Arbeit im Internet vermindert das Risiko von Finanz-Attacken. Die Nutzer sollten starke Passwörter verwenden, und zwar für jeden Service ein anderes. Sie sollten zudem öffentliche Wi-Fi-Netze mit Vorsicht nutzen und keine vertraulichen Daten im Browser speichern.
  • Anwender müssen zuverlässige Produkte zum Schutz vor Malware einsetzen, deren Effizienz durch unabhängige Tests bestätigt wurde. Darüber hinaus verfügen einige Schutzprodukte, beispielsweise Kaspersky Internet Security, über integrierte Technologien für das sichere Arbeiten mit Online-Finanzdiensten.
  • Wenn Sie ein Smartphone oder Tablet verwenden, um auf ein Online-Banking-System zuzugreifen oder um in Online-Shops einzukaufen, sollten Sie mit Hilfe einer zuverlässigen Lösung für die Sicherheit des Gerätes sorgen. Zum Beispiel schützt Kaspersky Internet Security for Android mit modernsten Tools vor Malware, Phishing und auch vor Verlust oder Diebstahl des Gerätes.

Empfehlungen für die Besitzer von Kryptowährungen

Da Bitcoin und Konsorten wie Litecoin, Dogecoin und viele andere eine noch relativ junge Erscheinung sind, kennen viele Nutzer nicht die Feinheiten derartiger Systeme. Daher empfiehlt das Kaspersky-Team die folgenden Tipps zum sicheren Gebrauch von Kryptowährungen:

  • Nutzen Sie keine Online-Dienste zur Speicherung Ihrer Ersparnisse. Stattdessen sollten Sie spezielle Wallet-Apps verwenden.
  • Verteilen Sie Ihr Erspartes auf mehrere Wallets. Sollte eine davon gestohlen werden, wird der Verlust dadurch gemindert.
  • Platzieren Sie Wallets, in denen Sie langfristig Geldbeträge speichern, auf chiffrierten Datenträgern. Als Alternative können Sie auf Papier gedruckte Wallets verwenden.
Weiterführende Links
Weblog
WhatsApp für PC – mit Trojan-Banker-Garantie
Royal Baby lockt auf Blackhole Site
Artikel
Die Epic Turla Operation: Aufklärung einiger Mysterien rund um Snake/Uroburos
Finanzielle Cyberbedrohungen im Jahr 2013, Teil 1: Phishing
Kaspersky Security Bulletin 2013/2014 –Bedrohungen für Unternehmen
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen