Mittlerweile dürfte kaum mehr an Zweifel daran bestehen, dass Kriminelle den schnell wachsenden Markt der mobilen Endgeräte – Smartphones, Tablets und dergleichen – für sich entdeckt haben. Und nicht nur das: Irfan Asrar von Symantec beschreibt in einem Blog, das der aktuelle Trend der Bedrohungslage speziell im Android-Bereich vermuten lässt, dass Malware-Autoren und -Anwender immer gewiefter vorgehen – sie agieren strategischer und werden gleichzeitig immer frecher.

Eine Strategie sei beispielsweise das Aufteilen der Malware-"Nutzlast" in verschiedene, aufeinander aufbauende Pakete. Malware-Autoren können so das Profil ihrer Schadprogramme verringern: Erstens entwickelt die Malware so nicht mehr auf einen Schlag eine Menge Aktivität, die den Smartphone-Besitzer misstrauisch machen könnten, und zweitens können kleine, in sich harmloserer Pakete wesentlich unauffälliger und einfacher in anderen Apps eingebettet werden. Letztlich verringert die Aufteilung auf mehrere verschiedene "Träger-Apps" auch die Gefahr, dass die Malware von bestehenden Sicherheitsmechanismen des Mobilfunkbetreiber oder des jeweiligen App-Markts aufgefunden wird.

Als klassisches Beispiel hierfür beschreibt Asrar eine neu entdeckte Variante des Trojaners Android.Lightdd, die im ersten Schritt Informationen über das Endgerät sammelt und an eine URL überträgt. Danach werden zusätzliche Komponenten und Updates über offizielle Distributionskanäle oder direkte Downloads heruntergeladen. Aber immerhin muss der Anwender die Installation der Download in diesem Fall noch bejahen – und das stellt eine nicht unerhebliche Hürde für die Malware-Nutzlast dar.

Der Trojaner Android.Jsmshider überspringt diese Hürde dagegen problemlos, da er seinen Payload mit einem AOSP-Zertifikat (Android Open Source Project) versieht. Das mobile Endgerät geht dann von einem legitimen Systemupdate aus und installiert das Ganze ohne Rückfrage beim Anwender. Glücklicherweise agiert Android.Jsmshider lediglich als vergleichsweise banaler Premium-SMS-Versender/-Dialer.

Dass die Gefahr im Mobilbereich – und speziell bei Android – größer wird, unterstreichen zudem Meldungen wie die Fortinet oder F-Secure. Fortinet beschreibt einen neuen Android-Trojaner, der zur letztjährig erstmals entdeckten Zitmo-Familie gehört. Zitmo steht für ZeuS in the mobile, eine Abart des "klassischen" ZeuS-Trojaners für den Mobilbereich. Die neue Zitmo-Version für Android tarnt sich als Komponente der Banking-App Rapport von Trusteer und fängt Einmal-Passwörter ab, die dem Anwender von seiner Bank zugeschickt werden.

F-Secure berichtet über eine neue Spyware und einen neuen Trojaner für Android. Die Spyware wird über kostenlose Apps vertrieben, in der Regel Spiele. Eine frühe Version dieser Schadsoftware verlangte lediglich nach Zugriff aufs Web, die neueste ist allerdings ein bisschen neugieriger: Sie fragt Informationen wie Mobilfunkanbieter und Land, die Geräte-ID, E-Mail-Adresse und Telefonnummer ab und schickt sie an einen Remote-Server. Zusätzlich bildet sie in kleines Icon ab, über das der Anwender weitere kostenlose Software ziehen kann – die natürlich durchgängig ebenfalls mit der Spyware verwanzt ist. War die frühe Version noch vergleichsweise harmlos, agiert die jüngste Version doch schon ausgesprochen suspekt. Der neu entdeckte Trojaner hingegen fängt SMS-Nachrichten ab und sendet sie an eine vorab definierte URL – ähnlich wie der vor kurzem von Trend Micro beschriebene Schädling.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.