| |
Home / Weblog
Analytiker-Tagebuch
|
Mit der zunehmenden Popularität von Apple-Produkten steigt auch das Bedürfnis von Betrügern, den Besitzern von iPhone, iPad und Co. das Geld aus der Tasche zu ziehen. Ziel der Cyberkriminellen ist es dabei, die Daten der Apple-ID zu stehlen, und sich so Zugriff auf die in der iCloud gespeicherten persönlichen Informationen der Anwender zu verschaffen (wie z.B. Fotos, Kontakte, Dokumente, E-Mails usw) - sowie Zugriff auf die Einkäufe, die der Inhaber des Accounts im Apple eigenen Shop iTunes Store getätigt hat. Viele Internet-Kriminelle gehen noch weiter und versuchen, an die Daten der Kreditkarte zu kommen, die zur Bezahlung verwendet wurde. Das wichtigste Werkzeug der Cyberkriminellen sind dabei Phishing-Websites, die sich als die offizielle, bekannte Ressource „apple.com“ ausgeben. Seit Anfang 2012 und bis zum heutigen Tag beobachten wir, dass die Zahl der Alarme unseres Web-Antivirus‘ beim Übertritt der Anwender unseres Produktes auf gefälschte Websites dieser Art deutlich zunimmt, was wiederum von einer zunehmenden Aktivität der Cyberkriminellen zeugt. In dem oben beschriebenen Zeitraum registrierten wir durchschnittlich um die 200.000 Alarme pro Tag. Zum Vergleich: Im Jahr 2011 lag der entsprechende Wert bei etwa 1.000 Alarmen.  
Statistik der Alarme der heuristischen Analyse von Januar 2012 bis Mai 2013 (Anzahl der Alarme pro Tag)
An einzelnen Tagen überstieg die Zahl der Alarme des Web-Antivirus, der als „apple.com“ getarnte Phishing-Sites erkennt, den durchschnittlichen Wert um ein Vielfaches. Wir registrierten einige Ausschläge, wobei die drastischsten auf den 6. Dezember2012 (939.549 Alarme) undden1. Mai 2013 (856.025 Alarme) fielen. Die zeitweilig zunehmende Aktivität der Cyberkriminellen und die damit einhergehende Zunahme der Alarme des Web-Antivirus lassen sich mit wichtigen Ereignissen im Umfeld des Unternehmens Apple erklären. So erfolgte der Anstieg im Dezember beispielsweise direkt nach der Eröffnung des iTunes Store in Russland, der Türkei, Indien, Südafrika und weiteren 52 Ländern der Welt. Wie gelangen die Anwender eigentlich auf die gefälschten Websites? Eine der beliebtesten Methoden ist die Verbreitung von Links auf die Phishing-Websites in Spam-Versendungen. Die Betrüger verschicken z.B. im Namen von Apple Mitteilungen, in denen sie den Empfänger darum bitten, seinen Account zu verfizieren, indem er auf einen in dem Schreiben enthaltenen Link klickt. Dieser Link führt dann auf eine gefakte Website, wo die Cyberkriminellen den Nutzer auffordern, seine Apple ID und sein Passwort einzugeben, und daraufhin stehlen sie diese Daten und missbrauchen sie zu ihren Zwecken. Hier ein Beispiel für eine betrügerische E-Mail, die einen Link auf eine Phishing-Ressource enthält: 
Wie man sieht, haben die Betrüger hier gute Arbeit geleistet – das Schreiben ist sprachlich korrekt und in offiziellem Stil gehalten, und als Absender ist die gefälschte Adresse service@apple.com angegeben. Tatsächlich stammt die Mail von einer anderen Adresse, die dem Empfänger aber verborgen bleibt. Führt man den Cursor über den Link in der E-Mail, so sieht man allerdings, dass dieser keinesfalls auf die Website apple.com verweist. In einer anderen Phishing-Mail geben sich die Autoren als Technischer Support von Apple aus: 
Die Verfasser dieses betrügerischen Schreibens sind noch gründlicher vorgegangen: Sie haben als Hintergrund das Firmenlogo von Apple eingefügt sowie einen Link auf die FAQ, und unterschrieben ist die Mail mit „Apple Customer Support“. Nur die unpersönliche Anrede am Anfang des Schreibens weist auf eine Fälschung hin. Die Seite, auf der der Empfänger solcher Phishing-Mails schließlich landet, ist in der Regel eine überaus professionelle Kopie einer Seite auf der offiziellen Website von Apple, und alle auf einer solcher Seite enthaltenen Links führen auf Seiten von apple.com. 
Beispiele für Phishing-Seiten, reale Domains und Fallstricke der Phisher sind rot unterstrichen
In den hier aufgeführten Beispielen wird die Adresszeile angezeigt: Sie mag zwar irgendwo auf die eine oder andere Art „apple.com“ enthalten, aber der erfahrene Nutzer erkennt hier mühelos die Fälschung. Öffnet man diese Website allerdings mit dem mobilen Browser Safari auf einem iPhone oder iPad, so schenkt der Anwender der Adresszeile möglicherweise keine Beachtung, da sie sofort nach dem Laden der Seite ausgeblendet wird. Zudem können Betrüger der Seite ein zusätzliches Element einfügen (z.B. eine Grafik), das eine Adresszeile mit einer legitimen Adresse darstellt. Dieses Element, das den Anwender in die Irre führen soll, nimmt dann den Platz der realen Adresszeile ein. Und so sieht eine gefälschte Seite aus, mit Hilfe derer Cyberkriminelle versuchen, die Daten Ihrer Kreditkarte zu stehlen - unter dem Vorwand, diese Ihrer Apple ID zuzuweisen: 
Wie man sieht, geben sich die Betrüger hier nicht unbedingt bescheiden und verlangen vom Anwender die Eingabe aller nur erdenklichen Informationen – von der Kreditkartennummer bis zur Kartenprüfnummer (CVC). Mit diesen Daten sind sie in der Lage, alle möglichen Transaktionen mit der Karte durchzuführen. Um Ihren Account zu sichern, können Sie die Zwei-Stufen-Authentifizierung für Ihre Apple ID aktivieren, die die Registrierung eines oder mehrerer vertrauenswürdiger Geräte einschließt. Auf diese Geräte werden dann vierstellige Authentifizierungs-Codes übermittelt. Die Zwei-Stufen-Authentifizierung schließt unbefugten Zugriff aus, und macht es unmöglich, dass auf der Website Meine Apple ID Änderungen an Ihrem Account vorgenommen werden. Zudem wird so verhindert, dass Dritte über Ihren Account Einkäufe tätigen. Allerdings schützt es Sie nicht vor finanziellen Verlusten, wenn Sie selbst den Cyberkriminellen die Daten Ihrer Kreditkarte übermitteln. Seien Sie also auf der Hut, wenn Sie im Namen der Firma Apple oder ihrer Mitarbeiter eine Mail erhalten: Es lohnt sich in diesem Fall sicherlich, den Technischen Support von Apple zu kontaktieren und sich von der Legitimität des Schreibens zu überzeugen. Außerdem sollte man nicht auf zugesendete Links klicken, sondern die gewünschte Adresse besser manuell in den Browser eingeben. Sind Sie allerdings doch einmal über einen Link auf einer entsprechenden Website gelandet, so schauen Sie sich deren Inhalt genau an und überprüfen Sie die Adresse der Seite in der entsprechenden Zeile des Browsers. Befolgt man diese einfachen Regeln, so sinkt die Wahrscheinlichkeit deutlich, Cyberkriminellen zum Opfer zu fallen und ihnen ungewollt persönliche Daten in die Hände zu spielen.
|
Im Laufe der letzten Monate gab es bei den Würmern, die in Java oder Skriptsprachen programmiert sind, wie z.B. JavaScript und VBScript, nichts sonderlich Interessantes. Das liegt vor allem daran, dass die Virenautoren, die völlig unspektakuläre Machwerke ans Licht der Welt bringen, nicht besonders hoch qualifiziert sind. Doch vor kurzem zogen zwei Samples unsere Aufmerksamkeit auf sich, deren Komplexität davon zeugt, dass hier Profis am Werk waren. Unsere Produkte detektieren diese besonderen Würmer als Worm.JS.AutoRun und Worm.Java.AutoRun. Zudem werden sie mit heuristischen Methoden als HEUR:Worm.Script.Generic und HEUR:Worm.Java.Generic respektive detektiert. Die Würmer haben folgende Merkmale gemein: eine starke Obfuskation, die Hauptfunktionalität, die zur Funktionalität eines Backdoors gehört, und die Verbreitungsmethode. Beide Schädlinge verbreiten sich durch das Kopieren ihrer selbst und der Konfigurationsdatei autorun.inf in die Wurzelverzeichnisse der logischen Laufwerke von Wechseldatenträgern und Netzwerkfestplatten. Auf diese Weise kann das Öffnen der befallenen Bereiche auf anderen Computern zur Infektion der letzteren führen. Nachdem sie das Betriebssystem infiziert und sich selbst dort „angemeldet“ haben, führen die Schadprogramme ihre Hauptfunktionalität aus. Monat für Monat war die Zahl der bei unseren Anwendern entdeckten AutoRun-Würmer ungefähr gleich groß. Laut Daten des Kaspersky Security Network breitet sich so die Hälfte aller Skript-Würmer aus. Für Java-Würmer ist eine solche Verbreitungsmethode allerdings nicht charakteristisch. Doch buchstäblich in den letzten drei Monaten beobachten wir eine radikale Zunahme neuer Modifikationen von Worm.Java.AutoRun. 
Zahl der entdeckten individuellen Skriptwürmer, Skriptwürmer AutoRun und der mit heuristischen Methoden entdeckten Skriptwürmer AutoRun April 2012 - Mai 2013
Zahl der entdeckten Java-Würmer Java, Java-Würmer AutoRun und der mit heuristischen Methoden entdeckten Java-Würmer AutoRun August 2011 – Mai 2013
Beide Würmer sind polymorph: Bei der Ausbreitung modifizieren sie ihren Körper und machen es so schwieriger, sie zu erkennen. Das ist einer der Gründe dafür, dass sie verglichen mit „gewöhnlichen“ Würmern recht weit verbreitet sind.
Und das ist es, was wir gefunden haben: TSR-Schadprogramme auf der Plattform Java sind allgemein recht selten, und Würmer umso mehr. Daher haben wir dieses Exemplar ganz genau unter die Lupe genommen.
Der Wurm richtet sich auf einem infizierten Computer in Form von vier Dateien ein: - Java-Archiv – die Hauptkomponente mit von Infektion zu Infektion wechselndem Namen; wird im temporären Verzeichnis des Anwenders %TEMP%\jar_cache*.tmp abgelegt.
- autorun.inf – Konfigurationsdatei, die den Autostart des Wurms beim Öffnen des infizierten externen Datenträgers oder der eingebauten Netzwerkpartition gewährleistet.
- dll-Datei – Hilfsbibliothek (Win 32), die einen Teil der Verbreitungsfunktion übernimmt. Der Name dieser Datei ist ebenfalls nicht festgelegt und wird bei der Infektion eines Computers bestimmt. Die Bibliothek selbst wird in das temporäre Verzeichnis des Anwenders %TEMP%\hsperfdata_%USERNAME%\ kopiert.
- Java.exe – legale ausführbare Datei des vorinstallierten JAVA-Pakets, die von dem Schädling ausgeführt wird, um dessen ständige Präsenz im Speicher des infizierten Computers zu gewährleisten. Während des Infizierungsprozesses wird diese ausführbare Datei aus %ProgramFiles% in das temporäre Verzeichnis des Anwenders kopiert (zu der oben beschriebenen Bibliothek) und mit einem Namen versehen, der dem Namen eines der Systemprozesse entspricht, wie etwa winlogon, csrss, services. Daraufhin wird sie mit den Startparametern der Hauptkomponente – des Java-Archivs - ausgeführt.
Fragment der Klassendatei des schädlichen JAVA-Archivs
Bei der Initiierung des schädlichen Java-Archivs extrahiert dieses die dll aus sich selbst, kopiert sich in das temporäre Verzeichnis des Anwenders, kopiert dorthin aus %ProgramFiles% die ausführbare Datei Java.exe - nachdem sie ihr einen „vertrauenswürdigen“ Namen gegeben hat - und führt sie dann mit den Startparametern des kopierten Java-Archivs aus. Daraufhin schleust das Java-Archiv in den erstellten Prozess die oben beschriebene Bibliothek ein, die den Wurm über die verfügbaren Netzwerkpartitionen und mobilen Datenträger verbreitet. Der losgelassene Schädling verbindet sich in Abständen mit dem Steuerungszentrum, um Befehle von den Cyberkriminellen entgegenzunehmen. Zu den Besonderheiten dieses Wurms gehört auch die starke Obfuskation. Hier wird ein Packer in Kombination mit dem Obfuskator Zelix KlassMaster verwendet. Der Wurm ist zudem – wie bereits eingangs erwähnt – polymorph, was seine Erkennung durch Antiviren-Lösungen erschwert.
Laut Daten des Kaspersky Security Network liegen die Hauptausbreitungsgebiete des Wurms in Indien und Malaysia. Das Gesamtbild ist auf der folgenden Grafik dargestellt. 
Geografische Verteilung der vor dem Wurm Worm.Java.AutoRun geschützten Anwender Januar – Mai 2013
Denselben Daten zufolge fällt der Höhepunkt der Detektionen des Wurms auf Ende Mai. Dabei betrafen die meisten Alarme die letzten Modifikationen, die auch einen derart rasanten Zuwachs verursachten. Der Wurm breitet sich aktuell weiter stetig aus, daher verfolgen wir seine Aktivität weiterhin mit äußerster Aufmerksamkeit. 
Zahl der vor dem Wurm Worm.Java.AutoRun geschützten Anwender April – Mai 2013
Zur Verbreitung dieses Wurms wird nicht nur die oben beschriebene Methode mit autorun.inf eingesetzt, sondern auch FTP-Server, Filehosting, öffentlich zugängliche Ordner und CD/DVD während des Brennvorgangs. Nachdem er sich in den Verzeichnissen vervielfältigt und seinen Start dem Autostart hinzugefügt hat, überprüft der Wurm die Umgebung, in der er ausgeführt wird. Ist die Maschine, auf der er läuft, nicht virtuell, beginnt er, nach aktiven Überwachungs- und Schutzlösungen auf dem Computer zu suchen. Findet er solche, so deaktiviert der Wurm diese. Der Schädling empfängt Befehle über eine von der Steuerungszentrale geladene Datei. Im Wesentlichen handelt es sich dabei um Befehle zum Sammeln von Informationen auf dem infizierten Computer, die für die Cyberkriminellen von Interesse sind. Insbesondere trägt der Wurm Daten über das System, den Anwender und die auf dem Computer installierte Antiviren-Software zusammen. Wie auch Worm.Java.AutoRun ist dieses Exemplar ebenfalls gut verschlüsselt und verfügt über die Eigenschaft, seinen Körper von Infektion zu Infektion zu verändern.
Codefragment von Worm.JS.AutoRun
Wie auch der Wurm auf Java ist dieser Schädling in erster Linie in Südostasien verbreitet, dabei ist diese Variante allerdings vornehmlich in Vietnam und Indonesien aktiv. 
Geografische Verteilung der vor Worm.JS.AutoRun geschützten Anwender Anfang 2013 – Ende Mai 2013
Bezüglich seiner Aktivität liegt der Wurm Worm.JS.AutoRun etwas hinter Worm.Java.AutoRun. Allerdings steigt die Zahl der vor Worm.JS.AutoRun geschützten Anwender derzeit gerade stetig an, und es könnte durchaus sein, dass er den Java-Wurm hinsichtlich dieses Wertes noch einholt. 
Zahl der vor Worm.JS.AutoRun geschützten Anwender Anfang 2013 – Ende Mai 2013
Auf der oben stehenden Grafik ist die Anzahl der Anwender dargestellt, die nur durch Signatur-basierte Methoden geschützt werden. Die Zahl der mit Hilfe heuristischer Methoden geschützten Anwender ist wesentlich größer, wie auf der ersten Grafik zu erkennen ist. Gemäß den Daten des Kaspersky Security Network entfällt in den Ländern mit den meisten Detektionen dieser Schädlinge ein wesentlicher Anteil der verwendeten Betriebssysteme auf Windows XP. In den neueren Betriebssystemen von Microsoft fragt die Funktion Autoboot den Anwender standardmäßig, ob der Autostart zugelassen werden soll, was wiederum das Infektionsrisiko verringert. In den Betriebssystemen ab Windows 7 ist der Autostart lediglich für CD/DVD aktiviert. Bei Verwendung anderer Geräte zur Speicherung von Daten (wie etwa USB flash drive) funktioniert der Autostart nicht. Um seinen Computer vor einer Infektion zu schützen, wird empfohlen, die kritischen Updates des auf dem Computer installierten Betriebssystems und der Antiviren-Datenbanken rechtzeitig aufzuspielen. Empfehlungen zur Einstellung der Funktion Autostart und Links auf entsprechende Update-Pakete finden Sie in dem folgenden Artikel von Microsoft: http://support.microsoft.com/kb/967715/de
Komplexer Android-Trojaner |
|
Anton Kivva Vor kurzem wurde uns eine Android-Anwendung zur Analyse zugespielt, wobei auf den ersten Blick klar wurde, dass es sich hierbei um etwas ganz Besonderes handelte. Alle Zeilen der DEX-Datei waren verschlüsselt und der Code war obfuskiert. Die Datei erwies sich als multifunktionaler Trojaner, der in der Lage ist, SMS an Premium-Nummern zu versenden, andere Schadprogramme auf ein infiziertes Gerät zu laden und zu installieren und/oder solche via Bluetooth zu versenden und entfernte Befehle in der Konsole auszuführen. Dieses Schadprogramm wird von Kaspersky Lab als Backdoor.AndroidOS.Obad.a detektiert. 
In der Regel sind Virenschreiber bemüht, den Code ihres Machwerkes so weit wie möglich zu verschleiern, um den AV-Experten die Arbeit zu erschweren, doch ein solches Ausmaß an Tarnung wie wir es bei Obad.a vorgefunden haben, ist für mobile Malware äußerst ungewöhnlich. Doch die Besonderheit dieses neuen Trojaners liegt nicht allein in der Obfuskation des Codes.
Besonderheiten des Trojaners Die Entwickler von Backdoor.AndroidOS.Obad.a haben einen Fehler in dem populären Programm dex2jar gefunden, das gewöhnlich von Analysten zur Konvertierung von APK-Dateien in das benutzerfreundlichere Format Java Archive (JAR) verwendet wird. Die von den Cyberkriminellen entdeckte Sicherheitslücke stört den Konvertierungsprozess von Dalvik Byte-Code in Java Byte-Code, was als Konsequenz die statische Analyse des Trojaners erschwert. Die Cybergangster entdeckten zudem einen Fehler im Betriebssystem OC Android, der mit der Verarbeitung der Datei AndroidManifest.xml zusammenhängt. Diese Datei steckt in jeder Android-Anwendung und wird zur Beschreibung der Programmstruktur, zur Bestimmung ihrer Startparameter usw. verwendet. Die Virenschreiber haben AndroidManifest.xml dahingehend modifiziert, dass diese nicht den von Google festgelegten Standards entsprach, dank der entdeckten Sicherheitslücke allerdings korrekt auf dem Smartphone verarbeitet wurde. Als Folge wird die dynamische Analyse des Trojaners erheblich erschwert. Die Entwickler des Schadprogramms Backdoor.AndroidOS.Obad.a nutzen noch einen weiteren, bisher unbekannten Fehler im Betriebssystem Android aus, der es der schädlichen Anwendung ermöglicht, sich die erweiterten Rechte des Geräteadministrators anzueignen, das Programm dabei in der Liste der Anwendungen, die über solche Rechte verfügen, allerdings nicht auftaucht. Das hat zur Folge, dass das Schadprogramm, das über erweiterte Rechte verfügt, nicht mehr vom Smartphone entfernt werden kann. Schließlich hat der Schädling Backdoor.AndroidOS.Obad.a kein Interface und funktioniert im Hintergrundmodus. Analyse des Codes In diesem Schadprogramm werden alle äußeren Methoden durch Reflexion hervorgerufen, dabei sind alle Zeilen (darunter die Namen der Klassen und Methoden) verschlüsselt. 
Jede Klasse verfügt über einen lokalen Methoden-Decrypter, der die zu entschlüsselnde Zeile aus dem lokal bekannt gegebenen Byte-Array erhält. Alle Zeilen sind in diesem Array „versteckt“. 
Die wichtigsten Zeilen, die die Adresse des Steuerungsservers enthalten, werden einer weiteren Entschlüsselungsprozedur unterworfen. Zu diesem Zweck überprüft der Trojaner zunächst, ob eine Verbindung zum Internet besteht, daraufhin lädt er die Seite facebook.com und verwendet, nachdem er ein gewisses Element des Codes dieser Seite herausgezogen hat, dieses als Schlüssel für die Dechiffrierung. Auf diese Weise entschlüsselt Backdoor.AndroidOS.Obad.a die Adresse des Steuerungsservers nur unter Gefechtsbedingungen – bei Vorhandensein einer Internetverbindung. Darüber hinaus erschwert diese Funktion die Analyse des Schädlings. Ein Teil der Zeilen ist noch zusätzlich verschlüsselt. Der lokale Decrypter empfängt die codierte Zeile in Base64 und decodiert sie. Die decodierte Zeile wird zunächst durch eine XOR-Operation aus dem MD5-Schlüssel entschlüsselt, daraufhin zusätzlich mit MD5 von der Zeile "UnsupportedEncodingException". Um den MD5-Schlüssel zu erhalten, dechiffriert derselbe lokale Decrypter eine weitere Zeile, aus der auch der MD5 errechnet wird. Auf diese Weise werden die wichtigsten Zeilen geschützt, wie etwa der Name der Funktion sendTextMessage.
Durch eine Analyse ist es uns gelungen, alle Zeilen zu dechiffrieren: 
Und mit Hilfe der Ergebnisse der Dechiffrierung konnten wir den Funktionsalgorithmus der Anwendung wiederherstellen. Erlangung der RechteSofort nach dem Start versucht die Anwendung, die Rechte des Geräteadministrators zu erhalten. 
Wie bereits oben beschrieben, besteht eine Besonderheit des Trojaners darin, dass das Schadprogramm – nachdem es erweiterte Rechte erhalten hat – nicht mehr gelöscht werden kann: Durch die Ausnutzung eines vorher unbekannten Fehlers im Betriebssystem Android taucht die schädliche Anwendung mit erweiterten Rechten nicht in der Liste der Programme auf, die über die Rechte des Geräteadministrators verfügen. 
Wir haben Google bereits über die Sicherheitslücke in der Arbeit mit dem Geräteadministrator im Betriebssystem Android informiert. Der Trojaner kann die erweiterten Rechte des Geräteadministrators zum kurzfristigen (nicht mehr als 10 Sekunden) Blockieren des Geräte-Displays nutzen. In der Regel geschieht das nach der Verbindung mit einem kostenlosen Wi-Fi-Netz oder nach der Aktivierung von Bluetooth, das vom Schädling zur Weiterleitung seiner Kopien und anderer Schadprogramme an andere Geräte, die sich in der Nähe befinden, genutzt wird. Vermutlich versucht Backdoor.AndroidOS.Obad.a so, die schädliche Aktivität vor dem Anwender zu verbergen. Außerdem versucht der Trojaner, Root-Rechte zu erhalten, indem er den Befehl “su id” ausführt. 
VerbindungzudenBetreibernInformationen, ob Root-Rechte erhalten wurden, werden an den Steuerungsserver weitergeleitet. Der Erhalt von Root-Rechten kann Cyberkriminellen einen Vorteil bei der entfernten Ausführung von Befehlen in der Systemkonsole verschaffen. Für die Übermittlung der Informationen über das infizierte Gerät und die bereits geleistete Arbeit benutzt Backdoor.AndroidOS.Obad.a die in dem Moment aktive Internetverbindung. Wird kein Netz gefunden, so sucht der Trojaner die nächstgelegenen Wi-fi-Netze, die keine Autorisierung erfordern, und verbindet sich sodann mit einem von ihnen. Nach dem Erststart sammelt die schädliche Anwendung die folgenden Informationen und sendet sie dann an den Steuerungsserver mit der Adresse androfox.com: - MAC-Adresse des Bluetooth-Geräts
- Name des Betreibers
- Telefonnummer
- IMEI
- Kontostand
- Geräteadministrator-Rechte erhalten oder nicht
- Root-Rechteerhaltenodernicht
- Ortszeit
DiegesammeltenDatenwerdeninFormeinesverschlüsseltenJSON-ObjektsandenServergesendet 
Diese Informationen werden an den zum Verbindungszeitpunkt aktuellen Kommandoserver und bei jeder folgenden Verbindung gesendet. Zudem informiert der Schädling seinen Herren über seinen eigenen Zustand: Die Anwendung schickt an den Server aktuelle Tabellen der Premium-Nummern und der Präfixe zum SMS-Versand (Parameter „aoc“), eine Liste der Aufgaben ("task") sowie eine Liste der C&C-Server. Bei jeder Sitzung mit dem Steuerungsserver wird eine leere Tabelle und Liste der Kommandoserveradressen gesendet, die mit Hilfe des oben beschriebenen Algorithmus‘ verschlüsselt sind. Während einer Verbindung mit dem C&C kann der Trojaner auch eine aktualisierte Tabelle der Premium-Nummern und eine neue Adressliste der C&C empfangen. Als Antwort sendet der Server ein anderes JSON-Objekt, das nach der Verschlüsselung folgendermaßen aussehen kann: {"nextTime":1,"conf":{"key_con":"oKzDAglGINy","key_url":"3ylOp9UQwk","key_die":"ar8aW9YTX45TBeY","key_cip":"lRo6JfLq9CRNd6F7IsZTyDKKg8UGE5EICh4xjzk"}} nextTime – nächste Kontaktaufnahme zum Server. conf - Konfigurationszeile. Die Konfigurationszeilen können Hinweise auf Veränderungen des C&C, Tabellen der Nummern mit Präfixen und Schlüsseln zum Versand der SMS und neue Aufgaben mit Parametern enthalten. Zudem kann in einer conf der Schlüssel zu Chiffrierung des Traffics (key_cip) weitergegeben werden. Die Cyberkriminellen können den Trojaner auch mit Hilfe von SMS steuern: Konfigurationszeilen können auch Schlüsselzeilen enthalten, die der Trojaner in den eingehenden SMS sucht, um bestimmte Aktionen auszuführen (key_con, key_url, key_die).
Jede eingehende SMS wird auf das Vorhandensein eines der Schlüssel untersucht. Wird ein Schlüssel gefunden, wird die entsprechende Aktion ausgeführt:
key_con – sofortige Verbindung mit dem Server.
key_die – Entfernen der Aufgaben aus den Datenbanken.
key_url – Austausch des C&C-Servers; darauf sollte im Text der SMS die neue Adresse folgen. Auf diese Weise kann ein neuer C&C-Server erstellt und seine Adresse per SMS mit dem entsprechenden Schlüssel key_url verschickt werden, woraufhin alle infizierten Geräte beginnen, mit dem neuen Server zu interagieren.
Wird in der conf ein Schlüssel zum Versand von SMS gefunden, so verschickt der Trojaner eine Mitteilung an die vom С&C erhaltenen Nummern. So ist für den Empfang des Befehls zum Versenden kostenpflichtiger SMS noch nicht einmal eine Internetverbindung notwendig:
SteuerungsserverVom C&C-Server empfängt der Trojaner Befehle, die in die Datenbank eingespeist werden. Jeder Befehlseintrag in dieser Datenbank enthält eine Ordnungsnummer, die vom Server festgelegte Zeit seiner Ausführung sowie Parameter. Befehlsliste: - SMSversenden. In den Parametern sind Nummer und Text enthalten. Antwort-SMSwerden gelöscht.
- Ping.
- KontostandviaUSSD empfangen.
- Als Proxy fungieren (festgelegte Daten an eine festgelegte Adresse senden und Antwort geben).
- Mit vorgegebener Adresse verbinden (Klicker).
- Datei vom Server laden und installieren.
- Liste der auf dem Smartphone installierten Anwendungen an den Server senden.
- Informationen über eine vom Kommandoserver angefragte installierte Anwendung versenden.
- Kontakte des Anwenders an den Server senden.
- Entfernte Shell. Führt die von den Cyberkriminellen ausgegebenen Befehle in der Konsole aus.
- Datei an alle erkannten Bluetooth-Geräte schicken.
Die Befehlsliste für Obad.a ermöglicht es dem Schädling, Dateien via Bluetooth zu verbreiten. Der Server vergibt die Adresse der Datei, die auf das infizierte Gerät geladen werden soll. Nach dem Download der Datei bestimmt die schädliche Anwendung gemäß dem nächsten Befehl des Servers die nächstgelegenen Geräte mit aktiviertem Bluetooth und versucht, ihnen die Datei zu senden.
Obgleich er über derart beeindruckende Möglichkeiten verfügt, ist der Schädling Backdoor.AndroidOS.Obad.a nicht sehr weit verbreitet. Laut Daten des Kaspersky Security Network entfielen auf diesen Trojaner innerhalb von drei Tagen der Beobachtung seiner blockierten Installationsversuche insgesamt nicht mehr als 0,15% aller Versuche mobile Geräte mit verschiedenen Schadprogrammen zu infizieren.
Zum Schluss sei angemerkt, dass der Schädling Backdoor.AndroidOS.Obad.a hinsichtlich seiner Komplexität und der Ausnutzung nicht veröffentlichter Sicherheitslücken eher einem Schadprogramm unter Windows gleicht, als anderen Trojanern für Android. Und das bedeutet, dass nicht nur die Zahl der Android-Schädlinge stetig zunimmt, sondern auch deren Komplexität.
Was interessiert Kinder im Netz? |
|
Kaspersky Lab schützt nicht nur die Welt vor Computerviren, sondern auch die heranwachsende Generation vor Content, der für Kinder schädlich sein könnte. Zu diesem Zweck enthalten unsere Produkte für Heimanwender die Komponente „Kindersicherung“. Dank dieser Komponente sind besorgte Eltern in der Lage, die Aktivität ihres Kinders im Internet zu kontrollieren. Die „Kindersicherung“ ermöglicht es beispielsweise, die Zeit zu begrenzen, die der Nachwuchs im Internet oder ganz allgemein am Computer verbringt. Zudem gibt die „Kindersicherung“ Eltern die Möglichkeit, den Start bestimmter Anwendungen einzuschränken und die Korrespondenz der Sprösslinge in sozialen Netzwerken und Chats zu kontrollieren. Doch eine der interessantesten Optionen, die das Modul bietet, ist die Zugriffsbeschränkung auf Webressourcen, deren Inhalte dem Kind schaden könnten. In erster Linie sind das Websites „für Erwachsene“, doch ebenso könnten soziale Netzwerke, Foren und auch Internet-Shops die Kinder gefährden. Zum gegenwärtigen Zeitpunkt enthält das Modul 14 verschiedene Kategorien von Websites, und die Eltern können individuell entscheiden, was für ihren Nachwuchs nicht wünschenswert ist. Hier die Kategorien:
- Pornografie, Erotik
- Illegale Software
- Drogen
- Gewalt
- Anstößige Sprache
- Waffen
- Glücksspiele
- Foren und Chats
- Internet-Mail
- Online-Shops
- Soziale Netzwerke
- Anonyme Proxyserver
- Zahlungssysteme
- Casual Games
Vor etwa einem Jahr veröffentlichten wir eine Statistik darüber, wie häufig die Komponente „Kindersicherung“ auf verschiedenen Websites Alarm schlägt. Damals wurden nur die Ressourcen berücksichtigt, auf die der Zugriff mit Hilfe der „Kindersicherung“ gesperrt war. Nun haben wir den Mechanismus zum Sammeln statistischer Daten weiterentwickelt und können nachvollziehen, Websites welcher Kategorie Kinder am häufigsten besuchen – ganz gleich, ob der Besuch dieser Ressourcen durch die „Kindersicherung“ erlaubt oder blockiert ist. Daher unterscheidet sich die weltweite Statistik der von Kindern besuchten Websites für das erste Halbjahr 2013 deutlich von der entsprechenden Vorjahres-Statistik:
Die bei Kindern auf der ganzen Welt beliebtesten Websites
In diesem Jahr stehen pornografische Ressourcen (16,8%) nicht länger an der Spitze des Ratings – laut Statistik verbringen Kinder einen Großteil ihrer Zeit in sozialen Netzwerken (31,3%). Unerwartet gehört auch die Kategorie „Online-Shops“ (16,7%) zum Spitzentrio dieser Hitliste, die „Foren und Chats“ sowie „Internet-Mail“ in der Rangfolge überholte. In absoluten Zahlen besuchten Kinder auf der ganzen Welt, deren Eltern die „Kindersicherung“ nutzen, innerhalb des letzten Monats 52 Millionen Mal soziale Netzwerke und 25 Millionen Mal Websites mit pornografischen Inhalten. Allerdings haben Kinder, die in unterschiedlichen Ländern leben, unter Umständen auch völlig unterschiedliche Vorlieben, daher haben wir die Statistik der besuchten Websites für verschiedene Länder einzeln berechnet. Untersuchungszeitraum: 1. Januarbis15 Mai 2013. RusslandIm Untersuchungszeitraum beobachteten wir die folgende Verteilung der Besuche von Websites mit potentiell unerwünschten Inhalten: 
Die bei russischen Kindern beliebtesten Websites
Das Bild ist der weltweiten Verteilung sehr ähnlich, allerdings gibt es auch einige interessante Details:
- Nach Popularität der Sites überholen die Online-Shops (9,1%) die Websites der Kategorie „Pornografie und Erotik“ (8,8%).
- Der Anteil der Besuche von Websites der Kategorie „Soziale Netzwerke“ ist prozentual gesehen fast doppelt so hoch wie der entsprechende weltweite Anteil – diese Kategorie führt mit großem Abstand.
- Websites mit nicht legaler Software (3,4%) beschließen die TOP 5 und lassen damit die Kategorien „Casual Games“ (3,1%) sowie „Foren und Chats“ (3,1%) hinter sich.
Am seltensten versuchen russische Kinder auf Websites zu gelangen, die Informationen über Drogen enthalten – deren Anteil beträgt nur 0,5%. Der Anteil der Kategorie „Bezahlsysteme“ (0,7%) ist auch bedeutend geringer als in der durchschnittlichen globalen Verteilung. DeutschlandDie Verteilung in Deutschland unterscheidet sich noch stärker von der weltweiten Rangliste: 
Die bei deutschen Kindern beliebtesten Websites
Bei deutschen Kindern erfreuen sich Websites mit pornografischen Inhalten (25,7%), Online-Shops (20,7%) und Soziale Netzwerke (18,3%) der größten Beliebtheit. Der Nachwuchs in Deutschland – wie auch im Rest der Welt – surft nicht besonders häufig auf Websites der Kategorie „Waffen“, „Glücksspiele“ und „Drogen“ – was äußerst erfreulich ist. Man darf allerdings nicht vergessen, dass soziale Netzwerke recht universelle Plattformen sind. Daher ist es möglich, dort auf ähnliche Inhalte zu stoßen. USADie Verteilung der unter Kindern in den USA beliebtesten Websites gleicht der Verteilung in Deutschland: An erster Stelle steht die Kategorie „Pornografie, Erotik“ (22%), auf der zweiten Position sind die Online-Shops (19,5%), die praktisch ebenso populär sind wie die sozialen Netzwerke (18,9%). 
Die bei Kindern in den USA beliebtesten Websites
Im Gegensatz zu Russland sind in den USA Websites mit illegaler Software (2,6%) unter Heranwachsenden nicht so beliebt, dafür besetzt die Kategorie „Foren und Chats“ auf Position 5 mit einem Ergebnis von 4,6 Prozent aller besuchten Websites einen recht hohen Platz. GroßbritannienIn Großbritannien verteilen sich die unter Kinder beliebtesten Websites folgendermaßen: 
Die bei britischen Kindern beliebtesten Websites
Wie das Diagramm zeigt, erinnert die Verteilung stark an die Situation in den USA, sogar das Spitzentrio ist gleich: pornografische Websites (23,3%), Online-Shops (19,6%), soziale Netzwerke (16,1%). Der einzige interessante Unterschied besteht darin, dass bei den Kindern in Großbritannien Websites mit „Casual Games“ (5,9%) beliebter sind als Foren und Chats (4,8%). JapanIn Japan hat sich eine Verteilung ergeben, die untypisch für das weltweite Bild ist. Insbesondere „Foren und Chats“ erfreuen sich unter den Heranwachsenden in diesem Land mit einem Anteil von 34,2% großer Beliebtheit. Offensichtlich sind Websites dieser Art für die Kinder ein guter Ersatz für soziale Netzwerke, die lediglich die 4. Position (10,6%) belegen. Zudem werden in Japan viele populäre Webressourcen mit Hilfe von Tools zum Erstellung von Foren und Blogs entwickelt. 
Die bei japanischen Kindern beliebtesten Websites
Websites der Kategorie „Pornografie, Erotik“ befinden sich mit einem Anteil von 23,3% der Besuche auf Platz zwei, auf Position drei liegen mit 16,9% die Online-Shops. BrasilienEbenso wie in Russland und auch im weltweiten Durchschnitt steht in Brasilien die Kategorie „Soziale Netzwerke“ (22,3%) an der Spitze. Dabei unterscheidet sich das brasilianische Führungstrio nicht von dem der meisten anderen Länder – neben den sozialen Netzwerken gehören Websites mit pornografischem Content (18,9%) und Online-Shops dazu (16,8%). 
In den TOP 5 der am häufigsten besuchten Sites sind zudem die Kategorien „Internet-Mail“ (11,2%) und „Casual Games“ (7,2%) vertreten. Am seltensten besuchen brasilianische Kinder und Jugendliche Seiten, die Informationen über Waffen (1,7%) und Drogen (1%) enthalten, und auch an Glückspielen (1,7%) sind sie nicht sonderlich interessiert.
Saudi-ArabienDie Verteilung der Besuche von Websites durch Kinder in Saudi-Arabien erinnert an die weltweite Verteilung, allerdings sind die bereits bekannten ersten drei Plätze nicht so weit von den übrigen Kategorien abgeschlagen: 
Position eins belegt die Kategorie „Pornografie, Erotik“ (22,9%), doch der prozentuale Anteil der Besuche auf Websites dieser Kategorie ist vergleichsweise gering – nur jeder Fünfte versucht auf eine Ressource mit derartigen Inhalten zu gelangen. Auf den Plätzen zwei und drei befinden sich wie so oft soziale Netzwerke (14,7%) und Online-Shops (11,4%) respektive. Darauf folgt mit geringem Abstand die Kategorie „Foren und Chats“ (9,4%).
In Bezug auf Websites der Kategorie „Illegale Software“ ähnelt die Situation in Saudi-Arabien der in Russland – „Warez“-Ressourcen belegen auch hier den fünften Platz, mit einem Wert von 8,6%.
FazitNachdem wir die statistischen Algorithmen geändert haben, wird nun ganz deutlich, dass soziale Netzwerke bei Heranwachsenden auf der ganzen Welt überaus beliebt sind. In vielen Ländern gehört diese Website-Kategorie zu den drei beliebtesten, und beispielsweise in Russland stehen die sozialen Netzwerke weit abgeschlagen von allen anderen Kategorien ganz an der Spitze. Eltern sollten sich unbedingt darüber im Klaren sein, dass in sozialen Netzwerken eine Vielzahl von Bedrohungen lauern – von für Kinder potentiell gefährlichen Inhalten bis hin zu zweifelhaften Persönlichkeiten, die an dem Kind ein ungesundes Interesse bekunden könnten. Außerdem waren unter den TOP 5 der populärsten Kategorien stets die Websites von Online-Shops zu finden. Es ist anzunehmen, dass Kinder auf der Suche nach Spielzeug und ähnlichen Waren auf Ressourcen dieser Art gelangen. In dieser Situation sollten Eltern ganz besonders vorsichtig sein – weiß der Sprössling, wo sich die Kreditkarte der Eltern befindet, so könnte es diese für einen nicht eingeplanten Kauf benutzen. Zudem könnte das Kind an einen Online-Shop geraten, der von Betrügern erstellt wurde, denen es dann zum Opfer fallen könnte. Wir hoffen, dass die von Kaspersky Lab erstellte Statistik Eltern auf der ganzen Welt hilft, besser zu verstehen, auf welche Weise ihre Kinder ihre Zeit im Internet verbringen - und dementsprechend die notwendigen Sicherheitsmaßnahmen zu ergreifen, wie z.B. die Installation und Aktivierung von geeigneten Lösungen, wie etwa der „Kindersicherung“ von Kaspersky Lab“. Denn die Erziehung und der Schutz des eigenen Kindes liegen in der Pflicht aller Eltern.
IT Security Best Practices |
|
Jeder hat seine eigenen Vorlieben, wenn es um Programme geht – seien es Browser, Messenger, Mediaplayer oder E-Mail-Clients usw. Viele Anwender sind so sehr daran gewöhnt, sie im alltäglichen Leben zu nutzen, dass sie sich unwohl fühlen, wenn sie am Arbeitsplatz oder in der Universität keinen Zugriff auf ihre persönlich bevorzugten Programme haben. Daher greifen viele auf die Nutzung portabler Anwendungen zurück, die auch Thema dieses Beitrags sind. Auf mobilen Speichermedien geschriebene portable Anwendungen sind überaus benutzerfreundlich – sie erfordern keine Installation und können praktisch in jeder Umgebung verwendet werden. So steht dem Anwender zu jeder Zeit ein Auswahl an allen möglichen Tools für die unterschiedlichsten Aktivitäten zur Verfügung: vom Abspielen von Filmen und Musik bis hin zur Systemanalyse und –Wiederherstellung. Allerdings können solche Anwendungen auch eine Bedrohung für die Informationssicherheit darstellen. Nutzer, die nicht über die Rechte eines lokalen Administrators verfügen, können keine Programme auf einem PC installieren, doch sie können portable Software nutzen, die keine Installation erfordert, um diese Beschränkungen zu umgehen. Da solche Anwendungen mobil sind und auf Wechseldatenträgern gespeichert werden, können sie für das Programmaudit unbemerkt im lokalen Netzwerk verbleiben. Das wiederum erschwert die Ermittlungsarbeit bei Vorfällen, die mit der Verwendung von portablen Anwendungen zusammenhängen, da für die Untersuchung wichtige Informationen über den Wechseldatenträger und die darauf installierte Software für die Sicherheitsexperten häufig nicht verfügbar sind. Ein Fall aus der PraxisEin Analyseunternehmen, das große Mengen von persönlichen Informationen bearbeitet, bot Studenten und anderen Laien einen Nebenjob im Bereich Informationstechnologien an: Zwei Tage pro Woche sollten sie Daten aus Formularen in Papierform digitalisieren, die vorhandenen Daten auf Fehler überprüfen und die entsprechenden Personen zur Bestätigung der Informationen abtelefonieren. Aus Gründen der Sicherheit wurden alle Workstations, an denen diese befristeten Angestellten arbeiteten, in ein separates Subnetzwerk ohne Internetzugriff gelegt. Die Kontrolle über diesen Rechnerpark wurde einem der Systemadministratoren des Unternehmens anvertraut. Das Unternehmen beauftragte externe Programmierer mit der Entwicklung eines Programms zum Ausfüllen von elektronischen Formularen. Bei diesem Programm handelte es sich um einen Katalog verschiedener, mit den Anträgen in Papierform identischer E-Formulare. Zur Berechnung der ausgeführten Arbeiten musste jeder vorübergehende Mitarbeiter beim Start des Programms seinen Benutzernamen und sein Kennwort eingeben. Zudem musste er auswählen, ob er ein neues E-Formular ausfüllen, oder ein bereits vorher ausgefülltes überprüfen möchte. Sowohl die neuen als auch die geänderten Daten wurden in einer Zwischendatenbank gespeichert. Zum Empfang der Daten, die überprüft oder aktualisiert werden mussten, griff das Programm auf die Zwischendatenbank zu, die die Daten wiederum direkt aus der Hauptdatenbank erhielt. Damit die Mitarbeiter nicht immer wieder ein und dasselbe Formular überprüfen, wurden in der Zwischendatenbank Beschränkungen festgelegt: Ein Formular wurde erst 5 Monate nach seiner letzten Überprüfung wieder der Kategorie der zu überprüfenden Datensätze zugeordnet. Für die Erstellung und den Support beider Datenbanken war der Datenbankadministrator verantwortlich.
Da der Arbeitsprozess recht simpel und die Mitarbeiterfluktuation hoch war, führte der Systemadministrator Maßnahmen zur Gewährleistung der Sicherheit der Workstations ein: Alle Anwender arbeiteten mit den zur Ausübung ihrer Tätigkeit minimal notwendigen Rechten, ohne die Möglichkeit, neue Software zu installieren oder die Einstellungen zu verändern, Zugriff hatten sie lediglich auf den Server, auf dem sich die Zwischendatenbank befand. Wenn irgendeiner der PCs zusammenbrach, stellte der Administrator das System - ohne lange nachzudenken - aus der Sicherheitskopie wieder her. Alles war gut, bis die Zwischendatenbank ausfiel, was die Arbeit der vorübergehenden Mitarbeiter wesentlich erschwerte. Während einer Analyse der Gründe für die Instabilität der Datenbank bemerkte der Administrator eine große Menge an Fehlermeldungen, die sich in letzter Zeit angesammelt hatten. Der Grund für einen Großteil der Fehler war eine hohe Auslastung der Datenbank, die durch eine hohe Zahl an Anfragen an die DB hervorgerufen worden war. Einige Fehler wurden durch Versuche verursacht, Daten, auf die der Zugriff verboten ist zu lesen/ in Tabellen zu schreiben. Der Administrator stellte fest, dass alle an die Datenbank gerichteten Anfragen, die Ursache für die Fehler waren, im Namen eines Programmes zum Ausfüllen von E-Formularen abgesendet worden waren. Nach Rücksprache mit den Entwicklern des Programms stellte der DB-Administrator fest, dass dieses Verhalten nicht nur nicht im Programm begründet lag, sondern auch nicht durch einen Fehler in dessen Code hervorgerufen worden sein konnte. Der DB-Administrator aktivierte die detaillierte Ereignis-Protokollierung und stellte fest, dass alle anomalen Anfragen von einer IP-Adresse stammten. Er bat den Systemadministrator um Hilfe, und dieser dachte wie stets nicht lange nach und stellte das System aus der Kopie wieder her.
Nach ein paar Tagen funktionierte die Datenbank noch immer nicht stabil, die Anwender beklagten sich weiterhin. Die vom Systemadministrator durchgeführte Analyse eines verdächtigen PCs ergab weder Hinweise auf Viren, noch auf Dritt-Software oder Veränderungen in der Konfiguration. Ein Gespräch zwischen dem Systemadministrator und den Anwendern, die in letzter Zeit an dem Computer gearbeitet hatten, brachte auch kein Ergebnis – keinem von ihnen war bei der Arbeit mit dem System etwas Besonderes aufgefallen. Später informierte der DB-Administrator den Systemadministrator darüber, dass die Fehlerquellen zugenommen hätten: Nun hingen an verschiedenen Tagen die Fehler mit unterschiedlichen IP-Adressen zusammen. Daraufhin aktivierte der Systemadministrator die detaillierte Protokollierung von Ereignissen auf allen Systemen. Und dann, eines Tages, wurde im Bericht eines Systems ein Eintrag über einen Fehler gefunden, aufgrund dessen ein Programm auf dem Laufwerk „F:\“ nicht mehr ausgeführt werden konnte. Allerdings war auf allen Computern in diesem Netz nur eine Festplatte, die auf den Systemen mit „C:\“ bezeichnet war. Dem Systemadministrator kam der Verdacht, dass einer der befristeten Mitarbeiter vorsätzlich versucht, die Datenbank zu manipulieren, und zwar mit Hilfe von Software, die er auf einem Stick gespeichert hat. Nachdem die Zeit, in dem die Fehler aufgetreten waren, die IP-Adressen der verdächtigen PCs und die Anwender, die in der entsprechenden Zeit an ihnen gearbeitet hatten, einander gegenüber gestellt worden waren, gelang es den mutmaßlichen Bösewicht zu ermitteln. Später, im Zuge einer „spontanen“ Kontrolle, die während der Arbeitszeit durchgeführt wurde, konnte einer der Studenten überführt werden, aus dessen Computer ein Speicherstick gezogen wurde. Auf dem Datenträger wurden portable Programme gefunden: Disassembler und ein Tool zur Verbindung mit der Datenbank. Der Student erzählte, wie er mit Hilfe des Disassemblers mühelos das Programm zum Ausfüllen von E-Formularen studieren konnte, wie er die in seinem Code geschützten Account-Daten entdeckte, die zur Verbindung mit der Datenbank genutzt wurden. Er berichtete zudem, dass er versucht, es aber nicht geschafft habe, sich Zugang zu der Hauptdatenbank zu verschaffen. Daraufhin beschloss er, mehr persönliche Daten zum Verkauf an Spammer zu kopieren (Namen, Adressen, Telefonnummern, E-Mail-Adressen). Zur Automatisierung dieses Prozesses hatte er ein Skript geschrieben, das in Abständen Daten aus der DB anfragte. Dadurch erklärte sich die hohe Auslastung der DB - und als Folge auch deren Instabilität.
Der Cyberkriminelle hatte bereits riesige Mengen persönlicher Daten an Dritte weitergegeben. Der dem Unternehmen entstandene Schaden wurde als nicht unwesentlich eingeschätzt. Der Student wurde nicht nur gefeuert, sondern auch wegen verbrecherischer Handlungen zur Verantwortung gezogen. Der Leiter der IT-Abteilung und der Systemadministrator erhielten einen Verweis und wurden zudem mit einer materiellen Strafe belegt. Die Leitung des Unternehmens dachte ernsthaft über die Notwendigkeit nach, Spezialisten zur Gewährleistung der Informationssicherheit hinzuzuziehen – im Unternehmen im Allgemeinen und bei dem Verarbeitungsprozess von persönlichen Daten im Speziellen. LösungObgleich das Unternehmen durchaus Maßnahmen zur Gewährleistung der Informationssicherheit ergriffen hatte, erwiesen sich diese als unzureichend. Man muss dabei unbedingt bedenken, dass diese Maßnahmen nur auf die Abwehr direkter Bedrohungen abzielten, wie etwa das Eindringen eines Cyberkriminellen aus dem abgetrennten Subnetzwerk in das allgemeine Unternehmensnetzwerk. AlsFolgebliebdasUnternehmengegenüberindirektenBedrohungenangreifbar. Das Abfließen der persönlichen Daten wurde also erst durch das Zusammentreffen mehrerer Faktoren möglich, und zwar: die Möglichkeit, Wechseldatenträger anzuschließen und damit portable Anwendungen zu nutzen, Daten für den Zugriff auf die DB im Programmcode in offener Form zu platzieren und das Fehlen einer Zugriffskontrolle auf persönliche Informationen. Zweifellos besteht nicht immer die Möglichkeit, solche Faktoren auszuschließen, doch ihre Kontrolle macht es eindeutig möglich, das potentielle Risiko zu minimieren. GerätekontrolleDas erste offensichtliche Problem des Unternehmens, in dem es zu dem geschilderten Vorfall kam, liegt in der Verwendung von USB-Geräten durch die Anwender, die sie im Rahmen ihrer Tätigkeit gar nicht brauchten. Ausgehend von dem Sicherheitsrisiko, die die in der Geschichte geschilderte Aufgabe birgt, hätten die befristeten Mitarbeiter lediglich eine Maus, einen Monitor und eine Tastatur gebraucht. Die ideale Lösung in so einem Fall, die ein maximales Sicherheitsniveau gewährleistet, besteht darin, das Computergehäuse zu versiegeln und in einen Metallkasten mit Vorhängeschloss zu stecken (analog zu Bankomaten und öffentlichen Terminals), doch das erschwert eindeutig den Support. Andererseits lässt sich durch die Programmkontrolle von PC-Geräten – zusammen mit anderen Kontrollmechanismen - das notwendige Schutzniveau gewährleisten. Der Vorteil dieses Ansatzes liegt in seiner Flexibilität: Der Systemadministrator kann die Politiken zentral verwalten, die festlegen, welche Geräte benutzt werden dürfen, von wem und an welchen PCs. Ein weiterer, nicht unwesentlicher Vorteil der Programmmethoden liegt in der Protokollierung und dem Audit von Ereignissen. Werden Ermittlungen zu einem Vorfall durchgeführt, so können sich die Informationen über die genutzten Geräte als überaus nützlich erweisen. AnwendungskontrolleWie bereits erwähnt, ist die Kontrolle von Geräten allein nicht ausreichend. Man sollte nicht aus dem Blick verlieren, dass Cyberkriminelle neben USB-Geräten auch Firewire, CD/DVD und Netzgeräte (darunter auch solche, die eine Verbindung zum Internet ermöglichen) oder eine serielle Schnittstelle verwenden können. Die Anwendungskontrolle ist ein Werkzeug, dass es selbst Laien auf dem Gebiet der Informationssicherheit ermöglicht, das gebotene Sicherheitsniveau zu gewährleisten. Insbesondere bei gefährlichen Ereignissen wäre es ein simples und effektives Mittel, sowohl zum Schutz vor portablen Anwendungen als auch vor Malware, den Start von Anwendungen von Wechseldatenträgern zu blockieren. Überdies ist die Anwendungskontrolle für die Gewährleistung der Sicherheit „isolierter“ Systeme und Netzwerke (Computerklassen) unentbehrlich – der Modus „Default Deny“, oder auch „standardmäßig blockieren“, macht es dem Anwender schlicht unmöglich, irgendwelche Drittsoftware zu starten. Zudem ermöglicht das Ereignis-Audit, das Teil der Anwendungskontrolle ist, eine detaillierte Analyse aller registrierten Vorfälle. DatenverschlüsselungHäufig ist es nicht möglich, den Mitarbeitern die Verwendung von Wechseldatenträgern vollständig zu verbieten, besonders dann, wenn sie fester Bestandteil der Geschäftsabläufe sind. InsolchenFällenkanneinGleichgewichtzwischenSicherheitundFlexibilitäthergestelltwerden, indemderSchutzdieserAbläufeselbstgewährleistetwird. Insbesondere durch eine komplette Verschlüsselung der Daten auf den mobilen Datenträgern des Unternehmens kann die Nutzung dieser Datenträger außerhalb des Unternehmensnetzwerks verhindert werden – Schreiben und Lesen kann ausschließlich auf den Arbeitsrechnern erfolgen, während alle übrigen Geräte mit Hilfe der Gerätekontrolle verboten werden können. So kann die Verschlüsselung von externen Festplatten und Festplatten nicht nur das Risiko eines zufälligen Datenlecks (durch Verlust des Datenträgers), sondern auch das des vorsätzlichen Diebstahls minimieren. Sicherheits-PoliciesDem aufmerksamen Leser wird nicht entgangen sein, dass das Hauptproblem in der geschilderten Geschichte in der schlechten Organisation liegt: Der Systemadministrator war für die Informationssicherheit verantwortlich; es wurde nicht überprüft, ob das entwickelte Programm mit den Sicherheitsstandards vereinbar ist; Regelungen für die Bearbeitung von Sicherheitsvorfällen fehlten und vieles mehr. Der Vorfall, der sich in dem Unternehmen zugetragen hat, hat gezeigt, dass die vom Systemadministrator ergriffenen Sicherheitsmaßnahmen nicht nur gegenüber indirekten Bedrohungen ineffizient waren, sondern auch ein falsches Gefühl von Sicherheit vermittelt haben. In großen Unternehmen arbeiten die Mitarbeiter der Abteilung Informationssicherheit nicht nur administrative Sicherheitspolitiken aus, sondern auch konkrete Empfehlungen für die Systemadministratoren (bezüglich der Konfiguration der Unternehmensserver und Workstations), für die Programmentwickler (Anforderungen an die Software vom Standpunkt der Informationssicherheit) und für die Personalabteilung (Einstellungs- und Entlassungskriterien) und mehr. In kleineren Firmen müssen die Systemadministratoren diese Aufgaben selbständig lösen, was sich zweifellos auf die Effektivität der Informationssicherheit des Unternehmens auswirkt. Wenn keine Ressourcen für eine vollwertige Abteilung „Informationssicherheit“ vorhanden sind, sollte der Fokus auf der Automatisierung der Kontrollprozesse und des Audits der Informationssicherheit liegen. Bei der Auswahl dieser oder jener Software sollten unbedingt die gesamten Betriebskosten bedacht werden, d.h. die Anschaffungskosten sowie die Kosten für Inbetriebnahme und Bedienung, da häufig nur Experten mit einer gewissen Ausbildung in der Lage sind, komplexe Schutzsysteme effektiv zu nutzen. FazitDas Erscheinen von portablen Anwendungen hat das Leben der Nutzer deutlich erleichtert: Man hat beliebige Anwendungen stets bei der Hand, und zwar zu jeder Zeit und an jedem Ort. Zugleich erschwert diese Mobilität allerdings die Gewährleistung der Sicherheit, insbesondere in Bezug auf die Programmkontrolle und die Untersuchung von Sicherheitsvorfällen. Die Moral aus der oben beschriebenen Geschichte ist simpel: Vernachlässigt ein Unternehmen die Informationssicherheit, so untergräbt es nicht nur seine eigenen Geschäfte, sondern kann zudem seinen Kunden ernsthafte Probleme bereiten. Genau aus diesem Grunde sind Organisationen, die Daten medizinischer und finanzieller Art sowie andere persönliche Daten speichern und bearbeiten, in vielen Ländern per Gesetz dazu verpflichtet, internationale Sicherheitsstandards zu erfüllen, wie z.B. HIPAA, PCI DSS und viele andere. Denn es geht hier doch darum, dass die Unternehmen für die Sicherheit der persönlichen Daten ihrer Kunden die Verantwortung tragen und dabei deren Vertraulichkeit, Verfügbarkeit und Vollständigkeit wahren.
Ist digitales Marketing das neue Spam? |
|
Was für eine Woche, um in Boston zu sein! Ich war genau an dem Tag auf dem Weg zur Source Konferenz, als das Unglück passierte. Es fällt mir schwer, die heftigen Gefühle bei meiner Ankunft in dieser Stadt zu beschreiben. Wie Präsident Obama den Bürgern von Boston zurief: “Ihr werdet wieder laufen!”. Ich wünsche den Menschen dort das Allerbeste, bleibt stark! 
Bei meiner Präsentation auf der Source sprach ich über Betrug in Twitter. Derzeit finden wir eine Menge Spam-Bots in diesem sozialen Netzwerk, die sowohl blind unerwünschte, direkte Nachrichten an andere Nutzer versenden oder eine vorhergehende semantische Analyse aufgrund der Tweets durchführen, um dann zielgerichteter Nachrichten verschicken zu können. 
Diese Bots können normalerweise problemlos identifiziert und umgehend von Twitter entfernt werden, aber sie werden ebenso problemlos wieder neu erstellt. Für eine bestimmte Porno-Spam-Kampagne mit mehr als 5000 aktiven Bots wurden täglich 250 neue erstellt. Bei manchen Kampagnen beträgt die Halbwertzeit der gefälschten Profile weniger als 45 Minuten. Diese Bots sind eindeutig nicht im Interesse der zugespammten Nutzer, aber auch genau so wenig im Interesse des sozialen Netzwerks selbst. Interessanterweise bieten viele Unternehmen diesen Service als „digitales Marketing“ an. Man kann beobachten, wie dieselben Profile regelmäßig rotieren, die Profilbeschreibung sowie das Profilbild geändert wird, um einerseits die Detektion zu vermeiden und es andererseits an die neue Kampagne anzupassen:
Einige Bots benutzten dieses Profilbild:
Und dieselben Bots eine Woche später diese: 
Viele Bots verwenden ein gewöhnliches Wörterbuch für die Tweets, die sie verschicken, die gesendeten Spam-Nachrichten ausgenommen. Auf diese Weise versuchen sie sich als legitime Profile zu tarnen. Allerdings sind sie so einfacher zu entdeckten. Und daher setzen sie nun neue Tricks ein, um die auf einer semantischen Analyse basierende Detektion zu verhindern, und verwenden sinnlose Nachrichten mit Wörtern, die normalerweise in jeder semantischen Analyse ignoriert werden. Hier einige reale Beispiele: - if its do you me your my do it my be find is but on are its rt that was
- I a me at get out your they on rt if I get rt can a
- u you rt find in I that that your my my find one you so is is my you this but get all a one its it
Einige dieser Kampagnen beschränken sich nicht nur auf Twitter, und wir beobachten, wie einige soziale Netzwerke angegriffen werden, darunter Facebook. Die job-deals.com-Kampagne (seit Anfang April aktiv) richtet sich beispielsweise im Wesentlichen gegen Twitter, aber wie die Statistik von Alexa der Upstream- und Downstream-Websites zeigt, werden auch Facebook-Nutzer angegriffen: 
Diese Bots sind für die User nicht nur ein Ärgernis, sie können sogar eine reale Bedrohung darstellen, wenn sie dazu eingesetzt werden, etwas anderes als nur Spam zu versenden. Noch beunruhigender ist, dass sie häufig zusammen mit gehackten Accounts verwendet werden, wodurch die Wahrscheinlichkeit effektiv steigt, dass der Empfänger glaubt, der gesendete Tweet stammt tatsächlich von einem Freund. In einer noch nicht lange zurückliegenden Kampagne wurde diese Technik eingesetzt, um Accounts mit der unglaublich originellen Nachricht “LOL, funny pic of you” (“LOL, witziges Bild von Dir”) zu kapern, der ein Link auf die schädliche Ziel-Website folgte: 
Verschiedene Domains wurden für diese Kampagne verwendet, und wieder sehen wir, wie einige von ihnen sich auch in andere soziale Netzwerke ausgebreitet haben: 
Es gibt noch viel mehr Betrügereien um soziale Netzwerke, so wie Twitter etwa dazu benutzt wird, Malware zu verbreiten, mit Malware zu kommunizieren oder für die Interessen von Hacktivisten ausgenutzt wird, so wie es kürzlich anlässlich der Wahlen in Venezuela der Fall war: An dieser Stelle gäbe es viel mehr abzuarbeiten, aber ich denke, für ein Blogpost ist es vorerst genug. Wenn Sie allerdings neugierig auf das Thema geworden sind und wissen möchten, wie man maschinelles Lernen nutzen kann, um diese schädlichen Profile zu entdecken, finden Sie meine Präsentation unter dem folgenden Link:
Das Ende des MSN Messenger - der Beginn einer Angriffsserie |
|
Microsoft gab kürzlich die baldige Abschaltung seines populären IM-Clients MSN Messenger bekannt, der durch Skype ersetzt wird. Doch das Ende des Messengers markiert gleichzeitig den Beginn einer Serie von bösartigen Attacken, im Zuge derer Malware als Installationsprogramm des IM-Clients ausgegeben wird. Cyberkriminelle nutzen diesen Umstand bereits weidlich aus, indem sie schädliche Domains registrieren, gesponserte Links in Suchmaschinen kaufen und die User dazu bringen, Malware herunterzuladen und zu installieren, die als MSN Installer getarnt ist. Der MSN Messenger ist in verschiedenen Ländern noch immer sehr beliebt; laut Microsoft hat der Service weltweit mehr als 100 Millionen Nutzer, von denen etwa 30,5 Millionen in Brasilien leben. Da eine eskalierte Migration aller Nutzer geplant ist, wird es immer schwieriger, das Installationsprogramm der Software aufzutreiben, und diese Nische nutzen Brasilianische Cyberkriminelle aus, deren Ziel es ist, eben die Anwender zu infizieren, die nach dem Installer suchen. Bei einer simplen Google-Suche nach "MSN messenger" wird als erstes Ergebnis ein gesponserter Link einer schädlichen Domain angezeigt, die das falsche Installationsprogramm verbreitet, bei dem es sich in Wahrheit um einen Trojan-Banker handelt: 
Die Domain wurde mit gefälschten Daten registriert: 
Besucht man diese Website, so wird der folgende Inhalt angezeigt: 
Und hier der Download des gefälschten MSN Installers: 
Hier weitere schädliche Domains, die ebenfalls zu demselben Zweck erstellt wurden, von denen einige allerdings bereits deaktiviert wurden: baixarmsndownload.com.br
downloadmsnbaixar.com.br
msnmessengerlive.com.br
Wir meinen, dass dies nur die erste von mehreren erwarteten Attacken ist, die das Ende des MSN Messengers als Köder nutzen. Da der 8. April - der Tag an dem Microsoft den Service endgültig schließen wird (30. April in Brasilien) - immer näher rückt, raten wir allen Anwendern, nicht nach dem MSN Installer zu suchen, sondern sich mit ihren bestehenden Accounts bei Skype zu registrieren. Und je eher das geschieht, desto geringer ist die Wahrscheinlichkeit, einer Attacke wie dieser zum Opfer zu fallen.
Südkoreanisches 'Whois Team' greift an |
| Global Research and Analysis Team of Kaspersky Lab | 21 März 2013 | 19:15 MSK |
Ihr Kommentar
|
Gestern machten Nachrichten von einer Reihe von Cyberattacken gegen verschiedene südkoranische Ziele die Runde. Die Angreifer, die unter dem Decknamen “Whois Team” operieren, hinterließen im Zuge des Defacements auf den gehackten Websites verschiedene Nachrichten:
Der für das Defacement verwendete Code, der von einem anonymen Nutzer in dem Forum “pygments.org” gepostet wurde (siehe http://pygments.org/demo/68313/), weist auf verschiedene von den Angreifern genutzte E-Mail-Adressen hin: arrFadeTitles[0] = "APTM4st3r@whois.com";
arrFadeTitles[1] = "dbM4st3r@whois.com";
arrFadeTitles[2] = "d3sign3r@whois.com";
arrFadeTitles[3] = "vacc1nm45t3r@whois.com";
arrFadeTitles[4] = "r3cycl3r@whois.com";
arrFadeTitles[5] = "s3ll3r@whois.com";
Die Screenshots von den betroffenen Computern deuten darauf hin, dass auch eine Malware in der Art von “Wiper” zum Einsatz gekommen ist. Wir haben früher bereits über zwei weitere “Wiper”-artige Schadprogramme berichtet, nämlich Iranian Wiper und Shamoon. Handelt es sich hier also um einen einmaligen Vorfall oder ist dieser Angriff vielmehr Teil einer größeren Cyberwar-Kampagne? Um ehrlich zu sein – wir wissen es nicht. Wenn KEIN Staat hinter diesen Angriffen steckt, so handelt es sich lediglich um Cyber-Terrorismus; im Fall von Cyberkrieg muss ein Nationalstaat hinter den Attacken stehen. Im Allgemeinen werden Attacken, die sich gegen kritische Infrastruktur richten, als Cyber-Terrorismus eingestuft. Laut Definition gehören Banken auch zur kritischen Infrastruktur, daher wird diese Attacke als Cyberterrorismus-Akt angesehen. Frühere Attacken unter Verwendung von Stuxnet und Wiper waren Teil einer laufenden Cyberkrieg-Attacke, die sich über Jahre hinzog, wenn auch sehr viel schleichender und verborgener. Die aktuellen Attacken hingegen sollten offensichtlich Aufsehen erregen – bei den Opfern handelt es sich um Rundfunkanstalten und Banken. Daher gehen wir davon aus, dass wir es nicht mit einem entschlossenen, ernsthaften Gegenspieler zu tun haben, sondern vielmehr mit Script-Kiddies oder Hacktivisten, die auf den schnellen Ruhm aus sind.
Mahnung: Vorsicht beim Öffnen von Rechnungen am 21. März |
|
Am vierten März stellten wir fest, dass unser Produkt Linux Mail Security eine große Anzahl von ungewöhnlichen Mitteilungen blockiert. Alle Mails enthielten ein und denselben Anhang im Format PDF (MD5: 97b720519aefa00da58026f03d818251), allerdings wurden sie von unterschiedlichen E-Mail-Adressen verschickt. Die E-Mails waren in deutscher Sprache verfasst, und ein großer Teil von ihnen stammte von deutschen IP-Adressen. Die untenstehende Karte zeigt die geografische Verteilung dieser Adressen:
Die im Header der Mitteilungen angezeigten Computernamen lauteten etwa Andreas-PC oder Kerstin-Laptop (Namen geändert). Das zeugt davon, dass die Mails von Heimcomputern deutscher Anwender versendet wurden. Hier ein Beispiel einer solchen Mail: 
Beispiel-Mail Die Namen der angehängten PDF-Dateien waren nach folgendem Muster aufgebaut Mahnung Name des Empfängers.pdf. Diese Schaddateien enthalten ein Exploit zu der Sicherheitslücke CVE-2010-0188 (Adobe Acrobat libtiff Remote Code Execution Vulnerability). Sie wurden mit Hilfe der Technologie Kaspersky ZETA Shield blockiert und als Exploit.JS.CVE-2010-0188.e detektiert. Es ist nicht einfach, das Exploit zu erkennen, da es unter zwei JavaScript-Ebenen verborgen ist.
Erste Javascript-Ebene 
Zweite Javascript-Ebene 
Entschlüsselter Shell-Code Die zweite Ebene ist dem JavaScript sehr ähnlich, das die im letzten Jahr entdeckten Exploits verwendeten, die dem Exploit-Pack BlackHole hinzugefügt wurden. Bei erfolgreichem Einsatz des Exploits wird eine ausführbare Datei mit der Adresse seodirect-proxy.com/adobe-update.exe geladen. Das so geladene Schadprogramm (MD5: 3772e3c2945e472247241ac27fbf5a16) wird von den Produkten von Kaspersky Lab als Trojan.Win32.Yakes.cngh detektiert. Es enthält Textzeilen in italienischer Sprache (lastoriasiamo, famiglia, badalamenti, impastato), die möglicherweise einen Bezug zur Mafia haben. Es gibt zudem folgende Informationen zu seiner Version preis: 
Offensichtlich steht BTP in diesem Fall für italienische Staatsanleihen und Bund für deutsche Staatsanleihen; Spread BTP/Bund ist eine Größe, die den Unterschied in der Rendite zwischen den einen und den anderen ausdrückt. Beim Start des Schadprogramms wird folgende Fehlermeldung ausgegeben: 
Daraufhin installiert sie sich im temporären Verzeichnis unter einem zufällig gewählten Namen (z.B. vlsnekunrn.pre) und versucht eine Verbindung zu zeouk-gt.com herzustellen. VergangenheitBei Durchsicht der Daten über frühere Infektionen stellten wir fest, dass analoge Versendungen in der Vergangenheit jeweils am 4. und 21. eines Monats verschickt wurden. Februar 2013 Am 21. Februar blockierten wir eine große Anzahl von E-Mails, die sehr ähnliche Anhänge im Format PDF enthielten. In diesem Fall enthielten die Namen der angehängten Dateien das Wort Rechnung und ein Datum (z.B. Rechnung_201302.pdf oder 2013_02rechnung.pdf). Die Absendercomputer befanden sich in den unterschiedlichsten Ländern, unter anderem in Südafrika, den USA, Australien und Japan. Dieses Mal wurden die im Header angezeigten Computernamen nach dem Zufallsprinzip zusammengestellt (wie z.B. ydopsgf und bxahwdkw). Interessant ist, dass in den Mitteilungsheadern auch Links auf die Domain zeus3.hostwaycloud.com enthalten waren. Der dechiffrierte Code dieses Exploits in JavaScript war fast identisch mit dem oben gezeigten Beispiel, allerdings wurde das Schadprogramm von mehreren URL-Adressen geladen: allgaeu-heimatwerk.de/biznessler/typo3/sysext/t3skin/host.exe corcagnani.de/host.exe kkc-hannover.de/modules/mod_search/helper.exe capital-success.de/pg/helper.exe Januar 2013 In der Versendung vom 4. Januar hieß die Schaddatei Rechnung201301.pdf und wurde von den folgenden URL geladen: kohnle-gros.de/css/styleneu.exe fairdealshop.co.uk/modules/mod_newsflash/helper.exe emct.org.uk/downloads/server-stats.exe November 2012 In der Versendung vom 21. November hieß die schädliche Datei RECHNUNG000201211.pdf und wurde von den folgenden Adressen geladen: rocketmou.se/stuff/corduroyshop/corduroyshop.exe coachplay.co.il/mapa/images/mapa.exe ZukunftAllem Anschein nach haben wir es hier mit einer hervorragend organisierten Kampagne zu tun, die auch in Zukunft weiterlaufen wird. Daher seien Sie besonders vorsichtig, wenn Sie am 21. März oder 4. April Mahnungen oder Rechnungen erhalten. Allerdings: Die Autoren können natürlich auch jederzeit das Datum ändern, also seien Sie auch an anderen Tagen immer wach
|
Mitte Februar 2013 wendete sich einer unserer malaysischen Anwender an uns mit der Bitte, die Anwendung My HRMIS & JPA Demo von dem Autor Nur Hazri bei Google Play zu überprüfen. 
Der Anwender war aufgrund der Unmenge von Befugnissen misstrauisch geworden, die für die Funktion dieser Anwendung unerlässlich sind obgleich die Funktionalität sich auf das Öffnen von vier Sites beschränkt. 
Nach dem Start der Anwendung werden dem Nutzer vier Bild-Buttons angezeigt: 
Nach einem Klick auf die Bilder öffnen sich im Standardbrowser von Android die entsprechenden Websites: Button 1 öffnet http://www.bheuu.gov.my/puspanita/;
Button 2 - http://www.jpa.gov.my/;
Button 3 - http://www.mampu.gov.my/web/guest;
Button 4 - http://www.eghrmis.gov.my/. Das ist es, was der Anwender sieht. Allerdings gibt es auch etwas, was er nicht weiß: Mit einem Klick auf Button 2 wird nicht nur die entsprechende Website geöffnet, sondern es werden auch die zehn zuletzt verwendeten Kontakte (Name und Nummer) gestohlen, und nach einem Klick auf Button 4 stiehlt die Anwendung zunächst die drei zuletzt eingegangenen Mitteilungen und öffnet erst dann die angegebene Webseite. In beiden Fällen wird der Diebstahl mit Hilfe des Versands einer SMS mit allen Daten in Textform an die Nummer 0187109971 durchgeführt. Der Spion hat es auf malaysische Anwender abgesehen, was auch durch unseren Service KSN bestätigt wird wir haben die Installation des Programms ausschließlich auf dem Gebiet Malaysias registriert. Die Anwendung My HRMIS & JPA Demo wurde von uns als Trojan-Spy.AndroidOS.Nuhaz.a detektiert. Wir haben den Sicherheitsdienst von Google über diese Bedrohung im App-Shop informiert. Zum gegenwärtigen Zeitpunkt ist die schädliche Anwendung gelöscht. P.S.: Von demselben Autor gibt es noch zwei weiter Programme bei Google Play: 
Es handelt sich dabei um legale Spione, die wir als not-a-virus:HEUR:Monitor.AndroidOS.Crakm.a und not-a-virus:HEUR:Monitor.AndroidOS.Lambs.a detektieren.
| |
