Rasante Vermehrung: Android-Schädlinge, Bitcoins und ZeuS-Trojaner legen zu

Kaspersky Lab veröffentlicht Malware-Report für August 2011

Moskau/Ingolstadt, 15. September 2011 - Kaspersky Lab ermittelte im August 2011 ein neues Niveau an Android-Schädlingen. Knapp ein Viertel aller mobilen Schadprogramme attackiert mittlerweile das Google-Betriebssystem. Zudem haben es Cyberkriminelle auf die Generierung der virtuellen Zahlungseinheit Bitcoins abgesehen. Schließlich identifizierte der IT-Sicherheitsexperte eine neue Variante des Online-Banking-Trojaners ZeuS. Nutzer sollten in nächster Zeit bei Online-Bankgeschäften vorsichtig sein.

Die mithilfe des Kaspersky Security Networks (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwenderprogramme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE Total Security. Im August 2011 wurden 193.989.043 Netzattacken abgewehrt, 64.742.608 Infizierungsversuche über das Web blockiert, 258.090.156 Schadprogramme zur lokalen Infektion entdeckt und unschädlich gemacht sowie 80.155.498 heuristische Vorfälle gezählt.

Rekordstand für Android-Schädlinge
Anfang August 2010 wurde das erste Schadprogramm für das Betriebssystem Android entdeckt: der SMS-Trojaner FakePlayer. Seither nehmen Android-Schädlinge rasant zu. Zum gegenwärtigen Zeitpunkt wurden 24 Prozent aller mobilen Schadprogramme für Googles Betriebssystem geschrieben. Seit dem Erscheinen von FakePlayer entdeckte Kaspersky Lab 628 Modifikationen verschiedener Schadprogramme für Android. Betrachtet man die Gesamtzahl aller zwischen dem 1. August 2010 und 31. August 2011 erkannten Schädlinge für Smartphones (ohne J2ME - Java 2 Platform, Micro Edition), so entfallen 85 Prozent davon auf Android-Angreifer.

Mobile Schädlinge unterscheiden sich grundsätzlich nicht sonderlich von herkömmlicher Malware. Ihr Ziel ist es, Daten beziehungsweise Geld von Anwendern zu stehlen. Im August tauchte beispielsweise der Trojaner Nickspy auf, der alle Gespräche der Inhaber infizierter Geräte als Audio-Dateien mitschneidet und diese Dateien dann an einen entfernten Server der Cyberkriminellen sendet. Eine der neuesten Modifikationen dieses Trojaners, die sich als Anwendung des Sozialen Netzwerks Google+ tarnt, ist in der Lage, verborgen eingehende Anrufe von der Telefonnummer der Cyberkriminellen, die in der Konfigurationsdatei des Schadprogramms enthalten ist, entgegenzunehmen. Erhält ein infiziertes Telefon ohne Wissen seines Besitzers einen solchen Anruf, kann der Cyberkriminelle alle Gespräche abhören. Darüber hinaus ist der Trojaner auch an SMS, Informationen über Anrufe sowie an GPS-Koordinaten interessiert.

Wundersame Bitcoin-Vermehrung und das Miner-Botnetz
In diesem Sommer stand das elektronische Geldsystem Bitcoin gleichermaßen bei Anwendern und Cyberkriminellen im Zentrum der Aufmerksamkeit. Das System zur Generierung virtueller Münzen basiert auf der Rechenkapazität von Computern. Je mehr Ressourcen, desto höher die potentiellen Einnahmen. Nachdem sich die Cyberkriminellen zunächst darauf beschränkten, Bitcoin-Depots durch Angriffe zu plündern, gingen sie recht schnell dazu über, Botnetze für die virtuelle Geldvermehrung zu missbrauchen.

Aktuell gibt es immer raffiniertere Arten von Bitcoin-Botnetzen. Zum Beispiel nutzten Cyberkriminelle dafür im August Twitter, P2P-Netze und Proxys. P2P-Botnetze sind zwar nicht neu, doch das P2P-Botnetz Trojan.Win32.Miner.h, das Kaspersky-Experten im August entdeckten, umfasst nach vorsichtigen Schätzungen fast 40.000 unterschiedliche öffentliche IP-Adressen. Bedenkt man, dass sich heute fast alle Rechner hinter Firewalls oder Gateways befinden, könnte die tatsächliche Zahl infizierter Computer noch um einiges höher liegen. Der Bot installiert im System gleich drei Bitcoin-Miner: Ufasoft miner, RCP miner und Phoenix miner. Insgesamt entdeckte Kaspersky Lab bis Ende August 35 unterschiedliche Schädlinge, die auf es auf Bitcoins abgesehen haben.

In Deutschland wurden im August etliche Unternehmen vom Miner-Botnetz über Distributed-Denial-of-Service-Attacken (DDoS-Attacken) angegriffen [1]. Unter den attackierten Zielen befanden sich sowohl kleine Unternehmen wie pizza.de als auch große Konzerne wie die Deutsche Bundesbank.

Der Online-Banking-Troianer ZeuS bekommt Nachwuchs
Der Trojaner ZeuS (Trojan-Spy.Win32.Zbot) ist schon seit mehreren Jahren die am weitesten verbreitete Bedrohung für Nutzer von Online-Banking-Systemen. Um ZeuS hat sich ein ganzer Geschäftszweig der Cyberkriminalität entwickelt, insbesondere in der russischsprachigen Online-Unterwelt. Im vergangenen Jahr tauchten Informationen darüber auf, dass der Schöpfer von ZeuS seine gesamte Entwicklung an den Autor des Trojaners SpyEye verkauft habe und es nun anstelle zweier konkurrierender Projekte nur noch eines gebe, das die besten Technologien seiner Vorgänger in sich vereint. Und tatsächlich werden nun regelmäßig neue Versionen von SpyEye entdeckt - die Nachfolger des greisen ZeuS-Programms.

Fast gleichzeitig mit dem „Verschmelzen" der beiden Schädlinge wurden die Quellcodes von ZeuS öffentlich zugänglich. Kein Wunder, dass sich im August ein ZeuS-Klon ausbreitete. Die neue Spielart wird von ihrem Autor Ice IX genannt und in den USA zu einem Preis von 600 bis 1800 Dollar verkauft. Eine der wichtigsten Neuerungen in Ice IX ist das veränderte Webmodul zur Steuerung des Botnetzes, das es Cyberkriminellen ermöglicht, legale Hosting-Plattformen zu nutzen - statt Bulletproof-Server, die von Cyberkriminellen betrieben werden. Durch diese Veränderung können die Nutzer von Ice IX bedeutende Ausgaben für das Bulletproof-Hosting einsparen. Der Diebstahl fremden Codes ist eine gängige Praxis im Cyberkriminellen-Milieu. Kaspersky Lab rechnet damit, dass in naher Zukunft weitere „uneheliche" Söhne von ZeuS auftauchen werden und die Zahl der Angriffe auf Nutzer von Online-Banking-Systemen dadurch steigen wird.

Zum Abschluss präsentiert Kaspersky Lab noch die Top 10 der am weitesten verbreiteten Schad- und Werbeprogramme (Mal- und Adware) im Internet.


Position           Name                                                           Verbreitung
1                         Blocked                                                               72,76 %
2                         Trojan.Script.Iframer                                     2,67 %
3                        Trojan.Script.Generic                                      1,96 %
4                         Trojan.Win32.Generic                                   1,21 %
5                        Exploit.Script.Generic                                    1,09 %
6                        AdWare.Win32.Shopper.ee                        1,07 %
7                        Trojan-Downloader.Script.Generic           0,74 %
8                        Trojan.JS.Popupper.aw                                  0,73 %
9                        AdWare.Win32.Eorezo.heur                        0,69 %
10                     WebToolbar.Win32.MyWebSearch.gen    0,69 %

 

Quelle

Tags:
Android, kaspersky, Schädlinge
Datum:
Donnerstag, 15. September 2011, 17:13 Uhr

Kommentar abgeben

» Besondere Hinweise für Spammer

Die E-Mailadresse in den Angaben benötigen wir zur Anzeige Ihres persönlichens Gravatars. Sollten Sie bisher noch keinen Gravatar nutzen, können Sie sich kostenlos auf Gravatar.com für die Nutzung registrieren.

Relevante Artikel

Es wurden leider keine passenden Einträge gefunden

Relevante Tags