Kasperskys Malware-Report für August 2011: Rasante Zunahme der Android-Schädlinge

Auswertung der Rückmeldungen der Heimanwenderprogramme „Kaspersky Anti-Virus“, „Kaspersky Internet Security“ und „Kaspersky PURE Total Security“

[datensicherheit.de, 15.09.2011] KASPERSKY lab hat nach eigenen Angaben im August 2011 ein neues Niveau an Android-Schädlingen ermittelt:
Die mithilfe des „Kaspersky Security Networks“ (KSN) gewonnenen Daten basierten auf Rückmeldungen der Heimanwenderprogramme „Kaspersky Anti-Virus“, „Kaspersky Internet Security“ und „Kaspersky PURE Total Security“. So seien im August 2011 193.989.043 Netzattacken abgewehrt, 64.742.608 Infizierungsversuche über das Web blockiert, 258.090.156 Schadprogramme zur lokalen Infektion entdeckt und unschädlich gemacht sowie 80.155.498 heuristische Vorfälle gezählt worden.
Anfang August 2010 sei das erste Schadprogramm für das Betriebssystem „Android“ entdeckt worden – der SMS-Trojaner „FakePlayer“. Seither nehme die Anzahl an „Android“-Schädlingen rasant zu. Zum gegenwärtigen Zeitpunkt seien 24 Prozent aller mobilen Schadprogramme für Googles Betriebssystem geschrieben. Seit dem Erscheinen von „FakePlayer“ habe KASPERSKY lab 628 Modifikationen verschiedener Schadprogramme für „Android“ entdeckt. Betrachte man die Gesamtzahl aller zwischen dem 1. August 2010 und 31. August 2011 erkannten Schädlinge für Smartphones (ohne „J2ME – Java 2 Platform, Micro Edition“), so entfielen 85 Prozent davon auf „Android“-Angreifer.
Mobile Schädlinge unterschieden sich grundsätzlich nicht sonderlich von herkömmlicher Malware. Ihr Ziel sei es, Daten beziehungsweise Geld von Anwendern zu stehlen. Im August 2011 sei beispielsweise der Trojaner „Nickspy“ aufgetaucht, der alle Gespräche der Inhaber infizierter Geräte als Audio-Dateien mitschneiden und diese Dateien dann an einen entfernten Server der Cyber-Kriminellen senden soll. Eine der neuesten Modifikationen dieses Trojaners, die sich als Anwendung des Sozialen Netzwerks „Google+“ tarne, sei in der Lage, verborgen eingehende Anrufe von der Telefonnummer der Cyber-Kriminellen, die in der Konfigurationsdatei des Schadprogramms enthalten sei, entgegenzunehmen. Erhalte ein infiziertes Telefon ohne Wissen seines Besitzers einen solchen Anruf, könne der Cyber-Kriminelle alle Gespräche abhören. Darüber hinaus sei der Trojaner auch an SMS, Informationen über Anrufe sowie an GPS-Koordinaten interessiert.
Im Sommer 2011 stand das elektronische Geldsystem „Bitcoin“ gleichermaßen bei Anwendern und Cyber-Kriminellen im Zentrum der Aufmerksamkeit. Das System zur Generierung virtueller Münzen basiert auf der Rechenkapazität von Computern. Je mehr Ressourcen desto höher die potenziellen Einnahmen. Nachdem sich die Cyber-Kriminellen zunächst darauf beschränkt hätten, „Bitcoin“-Depots durch Angriffe zu plündern, seien sie recht schnell dazu übergegangen, Botnetze für die virtuelle Geldvermehrung zu missbrauchen. Aktuell gebe es immer raffiniertere Arten von „Bitcoin“-Botnetzen. Zum Beispiel hätten Cyber-Kriminelle dafür im August 2011 twitter, P2P-Netze und Proxys genutzt. P2P-Botnetze seien zwar nicht neu, doch das P2P-Botnetz „Trojan.Win32.Miner.h“, das Kaspersky-Experten im August 2011 entdeckt hätten, umfasse nach vorsichtigen Schätzungen fast 40.000 unterschiedliche öffentliche IP-Adressen. Bedenke man, dass sich heute fast alle Rechner hinter Firewalls oder Gateways befinden, könnte die tatsächliche Zahl infizierter Computer noch um einiges höher liegen. Der Bot installiere im System gleich drei „Bitcoin“-Miner: „Ufasoft miner“, „RCP miner“ und „Phoenix miner“. Insgesamt habe KASPERSKY lab bis Ende August 35 unterschiedliche Schädlinge entdeckt, die auf es auf „Bitcoins“ abgesehen hätten.
Der Trojaner „ZeuS“ (Trojan-Spy.Win32.Zbot) sei schon seit mehreren Jahren die am weitesten verbreitete Bedrohung für Nutzer von Online-Banking-Systemen. Um „ZeuS“ habe sich ein ganzer Geschäftszweig der Cyber-Kriminalität entwickelt. 2010 seien Informationen darüber aufgetaucht, dass der Schöpfer von „ZeuS“ seine gesamte Entwicklung an den Autor des Trojaners „SpyEye“ verkauft habe und es nun anstelle zweier konkurrierender Projekte nur noch eines gebe, das die besten Technologien seiner Vorgänger in sich vereine – und tatsächlich würden nun regelmäßig neue Versionen von „SpyEye“ entdeckt, als Nachfolger des greisen „ZeuS“-Programms. Fast gleichzeitig mit dem „Verschmelzen“ der beiden Schädlinge seien die Quellcodes von „ZeuS“ öffentlich zugänglich gemacht worden. Kein Wunder, dass sich im August 2011 ein „ZeuS“-Klon ausgebreitet habe. Die neue Spielart werde von ihrem Autor „Ice IX“ genannt und in den USA zu einem Preis von 600 bis 1.800 US-Dollar verkauft. Eine der wichtigsten Neuerungen in „Ice IX“ sei das veränderte Webmodul zur Steuerung des Botnetzes, das es Cyber-Kriminellen ermögliche, legale Hosting-Plattformen zu nutzen. Durch diese Veränderung könnten die Nutzer von „Ice IX“ bedeutende Ausgaben für das „Bulletproof-Hosting“ bei anderen Cyber-.Kriminellen einsparen. Der Diebstahl fremden Codes sei eine gängige Praxis im cyber-kriminellen Milieu. KASPERSKY lab rechnet damit, dass in naher Zukunft weitere „uneheliche Söhne“ von „ZeuS“ auftauchen würden und die Zahl der Angriffe auf Nutzer von Online-Banking-Systemen dadurch steigen werde.