Von Alisa Shevchenko, Virenanalytikerin bei Kaspersky Lab
Bei modernen Technologien ist der Trend in Richtung Integration unaufhaltbar. Mobiltelefone werden immer "intelligenter" und sind bald ebenso leistungsfähig wie heutige PCs. Gegenwürtige Handhelds, Pocket PCs, Computer in Haushaltsgeräte oder in PKWs können inzwischen sogar untereinander kommunizieren. Diese Entwicklungen zeigen den Beginn der Epoche der "Smart Houses" an, wo unterschiedliche Geräte miteinander Daten austauschen.
Dabei erfolgt diese Kommunikation direkt über die mit "dualen Bits gesättigte Luft", wie Vertreter des Cyberpunks zu sagen pflegen. Bedarf es überhaupt einer Erklärung, welche potenziellen Gefahren in diesen Innovationen auf die Anwender lauern und welche Möglichkeiten sie für Hacker eröffnen? Das Problem der mangelnden Sicherheit in mobilen Geräte ist bereits heute aktuell.
Auf den ersten Blick scheinen Viren nur in Einzelfällen Endanwender direkt zu befallen. Die gesamte IT-Virologie beweist jedoch das Gegenteil: Im Zuge ihrer Entwicklung mutierten die Schadprogramme allmählich von unschuldigen Basteleien gelangweilter Programmierer und nach Selbstbestätigung suchender Studenten zu professioneller Malware, die häufig Profit orientiert arbeitet.
Die Grenze zwischen IT-Virologie und Netzsicherheit, Sicherheitslücken der Programme, Adware und kriminellen Strukturen ist heutzutage verwischt. Deshalb ist die Bedeutung der Virenforschung in Punkto Sicherheit für die digitale Welt nicht zu unterschätzen.
Die nachfolgend Analyse befasst sich mit den Bedrohungen mobiler Endgeräte durch Malware. Theoretisch sind sämtliche mobilen Technologien betroffen - praktisch jedoch sind vor allem Smartphones und die so genannte "Communicators" bedroht, denn diese Gruppe der mobilen Geräte zieht die Virenschreiber besonders an.
Herkömmliche Taschengeräte wie PDAs sind weit weniger betroffen, da sie seltener zum Austausch von (potenziell infizierten) Dateien eingesetzt werden. Das tatsächliche Ausmaß des Sicherheitsrisikos für mobile Geräte ist jedoc schwer zu beziffern, da diese Geräte noch nicht im großen Stil eingesetzt werden.
Geschichte der mobilen Viren
Die kurze Geschichte der Viren für mobile Geräte begann erst im Juni 2004, als die Gruppe 29A, eine Vereinigung professionelle Virenschreiber, den ersten Virus für Smartphones schrieb. Dieser Virus namens "Caribe" befällt das Betriebssystem Symbian und verbreitet sich via Bluetooth.
Der Worm.SymbOS.Cabir getaufte Virus erregte zwar viel Aufsehen, war jedoch als so genannter Konzeptvirus ausschließlich zu demonstrativen Zwecken entwickelt worden und sollte nur unter Beweis stellen, dass Symbian nicht vor Viren sicher ist.
Virenautoren wie 29A sind gewöhnlich nicht an der Virenverbreitung oder Missbrauch interessiert, sondern attackieren Systeme zur Selbstbestätigung ihrer Programmierfähigkeiten oder um auf Sicherheitslücken hinzuweisen. Tatsächlich wurde Worm.SymbOS.Cabir auf Anweisung des Autors selbst sogar an Antivirus-Unternehmen verschickt. Mehr noch: Der Quellcode des Wurms wurden im Internet veröffentlicht. Allerdings zog dies Modifikationen der Malware nach sich, woraufhin diese begann, weltweit durch Telefone zu schleichen - langsam und keinen erheblichen Schaden anrichtend, aber unaufhaltsam.
Einen Monat nach Cabir wurden die Antivirus-Unternehmen erneut mit einer virologischen Neuentwicklung konfrontiert: Virus.WinCE.Duts belegte gleich zwei Spitzenplätze: Er war der erste Virus für Windows CE beziehungsweise Windows Mobile und zugleich auch der erste Datei-Virus (file infector) für Smartphones. Duts infiziert .exe-Dateien im Stammverzeichnis des Gerätes, erfragt allerdings zuvor die Berechtigung durch den Anwender.
Die Fortsetzung der viralen Attacken auf Windows Mobile ließ nicht lange auf sich warten: Einen Monat nach Duts erschien Backdoor.WinCE.Brador - das erste Backdoor-Programm für mobile Plattformen. Dieses Schadprogramm öffnet den Zugang zum infizierten Gerät, in dem es dessen IP-Adresse per E-Mail an seinen Erschaffer sendet. Dadurch ermöglicht es ihm, über einen bestimmten Port auf den mobilen Rechner zuzugreifen. Anschließend ist es ein Leichtes, Dateien in beide Richtungen zu verschieben.
Trojan.SymbOS.Mosquit, der Brador folgte, sieht zunächst wie ein harmloses Spiel für die Plattform Symbian ("Mosquitos") aus, in dessen Code allerdings ein unbekannter Übeltäter einige Veränderungen eingefügt hat: Das modifizierte Spiel versendet beim Start SMS-Nachrichten an die im Code ausgewiesenen Telefonnummern.
Im November 2004 tauchte nach dreimonatiger Pause in einigen Internet-Foren mit Mobil-Themen ein neuer Symbian-Trojaner auf: Trojan.SymbOS.Skuller. Der Trojaner täuscht vor, neue Icons und Programme für Geräte zu übermitteln. Das Schadprogramm - ein Installer für die Symbian-Plattform - wechselt die Icons der Standard-Anwendungen mit Icons in Form eines Totenkopfs aus. Gleichzeitig installiert er schädliche Anwendungen, wodurch die Originalprogramme überschrieben werden.
Ein weiterer Trojaner dieser Gruppe, Trojan.SymbOS.Locknut, tauchte zwei Monate später auf. Wird der Virus gestartet, erstellt er im Systemverzeichnis /system/apps/ einen Ordner mit dem Namen "gavno", in welchem unter anderem die Datei gavno.app abgelegt ist. In dieser Datei befindet sich anstelle von Code nur ein gewöhnlicher Text. Da das Betriebssystem die Datei allerdings auf Grund ihrer Endung .app als Ausführungsdatei ansieht und startet, stürzt es bei diesem Versuch ab. Beim Neustart des Systems wird erneut versucht, die "Anwendung" zu starten, was letztendlich dazu führt, dass das Smartphone nicht mehr aktivierbar ist.
Worm.SymbOS.Lasco, der im Januar 2005 auftauchte, war nach dieser Reihe von Trojanern wieder der erste Wurm. Als entfernter Verwandter von Worm.SymbOS.Cabir unterscheidet er sich von ihm durch die Fähigkeit, SIS-Dateien infizieren zu können. Ein weiterer Außenseiter ist Worm.SymbOS.Comwar (März 2005), der sich als erster Vertreter selbst über MMS verbreiten kann.
Betrachtet man die dynamische Veränderung von Malware für mobile Plattformen, so kann ihre Geschichte in zwei "Epochen" eingeteilt werden: Zwischen Juni 2004 und Januar 2005, konnten noch technische Durchbrüche verzeichnet werden, doch von Januar 2005 bis heute beherrschen nur noch primitive Trojaner für Symbian die mobile Virenwelt.
Durchschnittlich erscheint ein neues Malware-Programm pro Monat - ohne Berücksichtigung der modifizierten Viren. Worm.SymbOS.Comwar beweist, dass die Entwicklung neuer Viren stagniert: Er war im März 2005 der letzte wirklich neu programmierte Virus.
Mobile Geräte sind angreifbar
Die Welt der intelligenten Mobilgeräte ist sehr neu und deshalb technisch noch relativ ungeschützt. Die implementierte Sicherheit von Geräten wird üblicherweise nur innerhalb eines "Wettrüstens" vorangebracht - also einer Abfolge von Angriffen und daraus resultierender Gegenmaßnahmen. Für Pocket PCs und Smartphones hat dieser Kampf gerade erst begonnen.
Allerdings macht der einzelne User jegliche technischen Bemühungen zur Sicherung eines Systems zunichte. Zum Teil reagierten Anwender erst Jahre nach Ausbruch von Virusepidemien auf diese Bedrohung, indem sie ihre Rechner mit Antivirus-Utilities ausrüsten oder Patches zur Schließung von Sicherheitslücken herunterladen.
Beispielhaft dafür ist Worm.SymbOS.Cabir. Dieser Virus tauchte vor über einem Jahr auf und kursiert seither im Netz mobiler Geräte, obwohl ihm eigentlich die technischen Voraussetzungen für eine derartige Langlebigkeit fehlen:
Denn dieser Wurm nutzt keinerlei Sicherheitslücken. Damit ein Smartphone mit ihm infiziert werden kann, muss der Anwender sowohl das Herunterladen als auch das Ausführen des unbekannten Programms bestätigen. Außerdem existieren bereits einige kostenlose, allgemein zugängliche Antivirus-Lösungen für mobile Geräte von verschiedenen Herstellern. Und nach dem großen Aufsehen durch einen Pressebericht, hätte eigentlich jeder Anwender gewarnt sein müssen.
Zusammenfassend lässt sich so fest stellen, dass die Sicherheitsproblematik bei mobilen Systemen gegenwärtig hauptsächlich vom Menschen ausgeht und weniger von technischen Unzulänglichkeiten verursacht wird.
Gefahr Bluetooth
Datenaustausch über Bluetooth ist inzwischen eine Standardfunktion der meisten Endgeräte. Allerdings verbirgt sich dahinter ein Sicherheitsdefizit, das dem Durchschnittsanwender nicht bekannt ist. Viele Benutzer scheuen das Lesen von Bedienungsanleitungen, weshalb ihnen in aller Regel unbekannt ist, dass ihr eingeschaltetes und aktiviertes Bluetooth-Gerät für alle anderen Benutzer von Bluetooth-Geräten in einem Umkreis von zehn bis 20 Metern "sichtbar" und dementsprechend auch für potentiellen Datenaustausch geöffnet ist.
Denn Bluetooth ermöglicht dem Mobilgerät mit Tausenden weiterer Telefone in Verbindung zu treten. Bei großen Menschenansammlungen führt dies zur Bildung eines weitläufigen Datenübertragungsnetzes.
Trends bei mobilen Würmern
Im Umfeld von mobilen Bedrohunge zeichen sich folgende Tendenzen ab:
- Der Prozentsatz der Smartphones bei mobilen Geräten ist steigend. Je bekannter und verbreiteter die Technologie, desto interessanter ist es, diese zu attackieren
- Mit steigendem Bekanntheitsgrad und Marktpotential wächst auch die Zahl der spezialisierten Virenschreiber
- Durch die erweiterten Funktionalitäten beginnen Smartphones die Desktop-Computer zu verdrängen. Damit erhalten Virenschreiber einen immer größeren Wirkungsbereich
- Steigende Anzahl der Gerätefunktionen führt automatisch zur Zunahme der gespeicherten, potentiell interessanten Informationen. Im Gegensatz zum gewöhnlichen Mobiltelefon, das meist nur ein Adressbuch enthält, können im Speicher eines Smartphones beliebige Dateien hinterlegt werden. Zusätzlich zur Virenbedrohung wird die Sicherheit persönlicher Daten durch die Nutzung von Online-Services in Gefahr gebracht.
Auf der anderen Seite werden diese negativen Prognose bislang durch verschiedene Faktoren abgeschwächt: Der Prozentsatz der Smartphones ist nach wie vor niedrig, und zudem gibt es bislang keine Monopolstellung eines Betriebssystems. Beides behindert gegenwärtig den Ausbruch globaler Viren-Epidemien. Um die Mehrheit der Smartphones zu infizieren, müssten Multi-Plattform-Viren den Markt erobern.
Überschaubere Gefahr
Eine reale Bedrohung entsteht erst dann, wenn diese natürlichen Bremsen wegfallen. Laut Daten von Marktforscher wächst der Marktanteil von Symbian für Pocket-PC auf seit zwei bis drei Jahren kontinuierlich. Mitte 2005 hatte sich der Bekanntheitsgrad von Symbian dem von Windows Mobile beinahe angeglichen. Es besteht deshalb durchaus die Möglichkeit, dass Windows über kurz oder lang vom Markt verdrängt werden wird.
Bislang kann also nicht von einer ernstzunehmenden Bedrohung durch mobile Viren gesprochen werden. Epidemien werden wohl erst auftreten, wenn eine kritische Zahl von Smartphone-Anwender erreicht ist und Standard-Plattformen den Markt beherrschen. Dies bedeutet jedoch nicht, dass es derzeit keinerlei Bedrohung durch mobile Viren gäbe.
Kaspersky Lab geht davon aus, dass sich die Virenwelt im nächsten halben Jahr zunächst kaum verändern wird, allerdings werden die Virenschreiber ihr Augenmerk wohl zunehmend auf den wirtschaftlichen Nutzen ihres Tuns legen. Neue Anwendungsmöglichkeiten, beispielsweise die Ausführung von finanziellen Transaktionen über Smartphones, werden in Zukunft das Interesse der Hacker wecken. (rw)