Kaspersky Lab veröffentlicht Malware-Report für Oktober 2011

Moskau/Ingolstadt, 16. November 2011 - Kaspersky Lab berichtet im Malware-Report für Oktober einen bedenklichen Anstieg neuer Android-Malware. Zum ersten Mal richtet sich die Mehrzahl aller mobilen Schädlinge gegen das Google-Betriebssystem. Zudem konnte der IT-Sicherheitsexperte im Herbst weitere Erkenntnisse zum Stuxnet-Nachfolger Duqu und zum Staatstrojaner liefern. Darüber hinaus wurde eine neue und hartnäckige Trojaner-Version entdeckt, die es explizit auf Mac-Nutzer abgesehen hat.

Die mithilfe des Kaspersky Security Networks (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwenderprogramme Kaspersky Anti-Virus, Kaspersky Internet Security und Kaspersky PURE Total Security. Im Oktober 2011 wurden insgesamt 161.003.697 Netzattacken abgewehrt, 72.207.273 Infizierungsversuche über das Web blockiert, 205.822.404 Schadprogramme zur lokalen Infektion entdeckt und unschädlich gemacht sowie 80.900.079 heuristische Vorfälle gezählt.

Mobile Bedrohungen: Android zum ersten Mal auf der Führungsposition

Im Oktober stellte Kaspersky Lab einen weiteren Anstieg an mobilen Bedrohungen fest. Die Gesamtzahl der Schädlinge für Android überstieg zum ersten Mal die Zahl der Schädlinge für die Plattform J2ME (Java 2 Micro Edition). Zum Ende des Monats gab es bereits 1.916 Schadprogramm-Varianten für Android, die sich auf 92 unterschiedliche Familien verteilen. Allein im Oktober wurden 808 Android-Schädlinge entdeckt. Dies bedeutet, dass 42 Prozent der Android-Schadprogramme erst im Oktober 2011 entdeckt wurden. Für die Plattform J2ME wurden bisher insgesamt 60 Familien mit 1.610 Varianten gefunden.

Hier die Top 3 der attackierten mobilen Betriebssysteme: An erster Stelle lag Android mit 46 Prozent, auf Platz zwei J2ME mit 41 Prozent und auf Platz drei lag mit 9 Prozent Symbian. Das Wachstum von mobilen Schädlingen, die Android-Nutzer attackieren, scheint unaufhörlich. So machte Android-Malware bis zum 10. November 2011 50,41 Prozent aller mobilen Schadprogramme aus. Immerhin ein Anstieg um über 4 Prozentpunkte im Vergleich zu Ende Oktober! Aktuell haben es Android-Schädlinge in erster Linie auf den Diebstahl persönlicher Daten abgesehen [1].

Duqu - die Reinkarnation von Stuxnet

Im Oktober identifizierte Kaspersky Lab zielgerichtete Attacken des Duqu-Trojaners im Iran und Sudan [2]. Das Schadprogramm ähnelt in einigen Merkmalen dem gefährlichen Stuxnet-Wurm, der im vergangenen Jahr iranische Industrieanlagen im Visier hatte. Die Ähnlichkeit zwischen den beiden Schadprogrammen ist frappierend. Kaspersky Lab geht daher davon aus, dass entweder dieselbe Gruppe hinter der Entwicklung der Schadprogramme steckt oder die Entwickler von Duqu den Quellcode von Stuxnet verwendet haben, der entgegen anders lautenden Gerüchten aber niemals öffentlich zugänglich war. Duqu enthält ein Spionage-Modul, das zielgerichtet sensible Informationen stiehlt. Das Modul kann zum Beispiel Tastatureingaben abfangen, Screenshots anfertigen und Informationen über ein System sammeln. Anschließend ist der Trojaner in der Lage, die gestohlenen Daten an den Steuerungsserver weiterzugeben, der sich zum Zeitpunkt der Kaspersky-Analyse in Indien befand. Die eindeutige Ausrichtung des Schädlings auf Spionage und nicht auf Sabotage wie im Falle von Stuxnet lässt noch einige Fragen offen und wird die IT-Sicherheitswelt in nächster Zeit noch weiter beschäftigen.

Staatstrojaner sorgt für Wirbel

Im Oktober sorgte der so genannte Staatstrojaner für Aufsehen in der Öffentlichkeit. Das Backdoor wurde von der deutschen Polizei bei ihren Ermittlungen zum Abhören von VoIP-Gesprächen und zum Abfangen von Mitteilungen auf Computern von Verdächtigen eingesetzt. Die vom Chaos Computer Club (CCC) durchgeführten Untersuchungen, an denen im weiteren Verlauf auch Experten von Kaspersky Lab in Deutschland beteiligt waren [3], zeigten, dass der Trojaner sowohl auf das Abfangen von Mitteilungen in Skype als auch auf alle gängigen Browser, verschiedene Instant-Messaging-Systeme und VoIP-Programme ausgerichtet ist. Alle Komponenten des Backdoor-Trojaners wurden als Rootkit vom Typ R2D2 identifiziert.

Mac-Bedrohungen: Neue Funktionalität

Mitte Oktober entdeckte Kaspersky Lab eine neue Version des Trojaners Trojan-Downloader.OSX.Flashfake.d unter MacOS X. Die Hauptfunktionalität dieses Schädlings besteht im Herunterladen von Dateien. Wie gehabt, tarnt sich der Mac-Schädling als Konfigurationsdatei des Adobe Flash Player. Allerdings wurde in dem Programm eine für Mac-Schädlinge neue Funktionalität umgesetzt: Vor zwei Jahren stattete Apple sein Betriebssystem mit Xprotect aus, einem System zum Schutz vor Malware. Im Prinzip handelt es sich dabei um einen einfachen Signatur-Scanner, der die Verfügbarkeit von Updates der Antiviren-Datenbanken prüft. Trojan-Downloader.OSX.Flashfake.d kann den Schutz von Xprotect außer Kraft setzen, indem er seine Hauptdatei zerstört. Daraufhin empfängt das Schutzsystem keine Updates mehr von Apple, die Effektivität von Xprotect sinkt gegen Null. Der integrierte Schutz lässt sich deshalb deaktivieren, weil die Programmierer einen Selbstschutz-Mechanismus schlicht nicht vorgesehen haben. Einmal auf dem Computer gestartet, schützt sich die Schaddatei so nicht nur selbst vor dem Entfernen, sondern macht das System auch für andere Schadprogramme angreifbar, die von dem integrierten Schutz eigentlich erkannt werden sollten. Daher ist dieser Trojaner gefährlicher als andere Mac-Schädlinge.

 
Das Erscheinen neuer Schadprogramme unter MacOS X hängt in erster Linie mit der wachsenden Beliebtheit von Apple-Computern zusammen. Derzeit sind Mac-Nutzer in punkto Sicherheit noch zu nachlässig, häufig ist auf Mac-Rechnern keine Antiviren-Software installiert. Die von den integrierten Schutzmechanismen verwendeten Technologien sind veraltet. Daher sind Apple-Computer eine leichte Beute für Cyberkriminelle.

[1] siehe: http://newsroom.kaspersky.eu/de/texte/detail/article/34-prozent-aller-android-schaedlinge-stehlen-persoenliche-daten
[2] siehe: http://newsroom.kaspersky.eu/de/texte/detail/article/stuxnet-nachfolger-duqu-attacken-auf-objekte-im-iran-und-sudan und http://www.securelist.com/en/blog/208193243/The_Duqu_Saga_Continues_Enter_Mr_B_Jason_and_TVs_Dexter
[3] siehe: http://newsroom.kaspersky.eu/de/texte/detail/article/kaspersky-analysten-entdecken-grossen-bruder-des-staatstrojaners

Quelle