G Data MalwareReport H2/2012 - G Data Software · Tabelle 1: Top 5 Plattformen der letzten beiden Halbjahre 2 Als Malware für Windows betrachten wir ausführbare Dateien im PE-Format,

G Data MalwareReport

Halbjahresbericht Juli – Dezember 2012 G Data SecurityLabs

Copyright © 2013 G Data Software AG 1

G Data MalwareReport H2/2012

Inhalt

Auf einen Blick ...................................................................................................................................... 2

Malware: Zahlen und Daten ................................................................................................................ 3

Das Wachstum verlangsamt sich deutlich ........................................................................................................... 3

Kategorien ....................................................................................................................................................................... 3

Plattformen: >>Alle gegen Windows!<< ............................................................................................................. 4

Android-Schadcode ..................................................................................................................................................... 5

Gefahren-Monitor ................................................................................................................................ 6

Webseiten-Analysen ............................................................................................................................ 8

Kategorisierung nach Themen ................................................................................................................................. 8

Kategorisierung nach Server-Standort ............................................................................................................... 10

Online-Banking .................................................................................................................................. 11

Bemerkenswerte Kampagnen ............................................................................................................................... 11

Ausblick ......................................................................................................................................................................... 12

Android: Das attraktive OS – für Nutzer und Angreifer .................................................................. 14

Neuer Trend in 2012: Adware ................................................................................................................................ 14

Malware im Google Play Store .............................................................................................................................. 16

Immer raffiniertere Malware .................................................................................................................................. 16

Botnetze im mobilen Bereich ................................................................................................................................ 17

Ausblick ......................................................................................................................................................................... 18



Auf einen Blick • Die Gesamtanzahl neuer Malware hat sich in H2 2012 gegenüber H1 verringert. 2012 zeigt

einen ähnlichen Verlauf wie 2011, mit einem leichten Plus von 2,4%.

• Durchschnittlich entstanden 6.915 neue Schadprogrammtypen pro Tag.

• Die Anzahl neuer Familien (2.483 für H2) liegt leicht über der vom ersten Halbjahr.

• Im Vergleich der Kategorien hat die Zahl der Backdoors zugenommen und sie sind nun auf Platz zwei. Sie verdrängen Spyware und Downloader auf die Plätze drei und vier.

• Die Anzahl der neuen Schadprogrammtypen in der Kategorie Tools ist in 2012 enorm gestiegen. Hinter dieser Kategorie verbergen sich zum Beispiel Web Exploit Kits und Online- Banking Tools.

• Der Anteil von Windows-Malware bleibt bei 99,8%, wobei der Anteil der in .NET geschriebenen Schädlinge stark steigt.

• Es sind 139.817 neue Android-Schaddateien in den G Data SecurityLabs eingetroffen – mehr als fünfmal so viele, wie in H1 2012.

• Online-Banking: ZeuS konnte sich, insbesondere dank des ZeuS-Klons Citadel, vor Bankpatch und Sinowal an die Spitze setzen.

• Adware verliert im Bereich PC-Malware aktuell an Bedeutung, im Bereich Mobile jedoch kommt diese Bedrohung gerade erst auf.

• In allen Bereichen zeigte sich, dass Angreifer weiterhin mit möglichst geringem Aufwand möglichst viel Profit ergaunern wollen.

Ereignisse • miniFlame wird als weitere Komponente von Cyber-Spionage Malware enttarnt.

• Auch die Schädlinge Mahdi und Gauss werden mit Spionage in Verbindung gebracht.

• Botnetz-Betreiber verlagern die C&C-Kommunikation einerseits ins Tor-Netzwerk und nutzen auch den Google Docs Service für die Befehlsübertragung.

• Social Engineering ist bei einer Vielzahl der Attacken ein entscheidender Angriffsvektor.

• Oracles Java machte auch in H2 2012 mehrfach durch ernst zu nehmende Sicherheitslücken von sich Reden.

Ausblick für das erste Halbjahr 2013

• Die Anzahl der neuen Schadprogrammtypen wird auf einem ähnlichen Niveau bleiben.

• Die Aktivitäten rund um Banking-Trojaner werden sich weiter in den Untergrund verlagern.

• Außerdem erwarten wir Banking-Trojaner, die das Tor-Netzwerk nutzen.

• Mit neuen Technologien, wie z.B. NFC, die in Mobilgeräten verbaut werden, werden weitere Angriffswege hinzukommen. Außerdem erwarten wir in der Zukunft auch Cross-Plattform Angriffe, die von Mobilgeräten ausgehen.



Malware: Zahlen und Daten

Das Wachstum verlangsamt sich deutlich Die Gesamtzahl neuer Malware hat sich im zweiten Halbjahr 2012 gegenüber dem ersten Halbjahr verringert – im zweiten Halbjahr registrierten die G Data SecurityLabs 1.258.479 neue Schadprogrammtypen1 und damit 123.488 weniger, als in den vorherigen sechs Monaten.

Das Jahr 2012 zeigt insgesamt einen sehr ähnlichen Verlauf wie 2011, doch die im letzten Report prognostizierte Marke von drei Millionen neuen Schadprogrammtypen in 2012 wurde deutlich verfehlt und die Gesamtzahl liegt nun tatsächlich bei 2.640.446. Selbstverständlich ist dies noch immer eine beeindruckend hohe Zahl und es darf nicht vergessen werden, dass wir es in dieser Statistik mit neuen Signaturvarianten zu tun haben, nicht mit der Gesamtanzahl aller aktiven Schädlinge! Schon im vergangenen Halbjahr hatte sich angedeutet, dass die Malware-Autoren sich in einigen Bereichen inzwischen mehr auf Klasse als auf Masse ausrichten und dies könnte nun durchaus Ausdruck in den oben vorliegenden Zahlen gefunden haben.

Kategorien Schadprogramme können anhand der schädlichen Aktionen, die sie auf einem infizierten System ausführen, klassifiziert werden. Die wichtigsten Kategorien sind in Abbildung 2 dargestellt.

Den Spitzenplatz der Kategorien belegen weiterhin die Trojanischen Pferde, meist abgekürzt als Trojaner, unangefochten seit mehreren Jahren. In Ihnen sind vielfältigste Schadfunktionen zusammengefasst, wie z.B. Ransomware, FakeAV oder andere Schadprogramme, die beispielsweise über Backdoors auf infizierte Rechner nachgeladen werden.

Die Anzahl der Backdoors hat auch in diesem vergangenen Halbjahr stetig zugenommen und so belegt diese Schadkategorie nun Rang zwei, noch vor Spyware und Downloadern.

1 Die Zahlen in diesem Report basieren auf der Erkennung von Malware anhand von Virensignaturen. Sie basieren auf Ähnlichkeiten im

Code von Schaddateien. Viele Schadcodes ähneln sich und werden dann in Familien zusammengefasst, in denen kleinere Abweichungen als Variationen erfasst werden. Grundlegend unterschiedliche Dateien begründen eigene Familien. Die Zählung basiert auf neuen Signaturvarianten, auch Schadprogrammtypen genannt, die im zweiten Halbjahr 2012 erstellt wurden.

Abbildung 1: Anzahl neuer Schadprogramme pro Jahr seit 2006



Die Anzahl der Tools stieg in den letzten zwölf Monaten ebenfalls sehr deutlich an, sie belegen nun Rang 6 in der Auswertung nach Kategorien. Zu erklären ist dies mit der steigenden Zahl von Web Exploit-Kits und Online-Banking-Tools.

Bemerkenswert ist ebenfalls die sinkende Kurve der neuen Adware-Schädlinge. Diese abnehmende Tendenz spiegelt sich ebenfalls in den registrierten Angriffen gegen Computernutzer wieder, die die G Data SecurityLabs im Kapitel „Gefahren-Monitor“ näher unter die Lupe nehmen.

Plattformen: >>Alle gegen Windows!<< Malware wird, genau wie reguläre Computerprogramme, in der Regel für eine bestimmte Plattform geschrieben. Seit Jahren ist der überwältigende Teil des Schadcodes auf die Windows-Plattform2 ausgerichtet. Auch nach Abschluss des Jahres 2012 hat sich an dieser Tatsache nichts geändert, wobei der Anteil der .NET Entwicklungen (MSIL) innerhalb dieser Gruppe sogar stark steigt, wie Tabelle 1 zeigt.

Plattform

#2012 H2 Anteil #2012 H1 Anteil

Diff. #2012H2 #2012H1

Diff. #2012 #2011

1 Win 1.223.419 97,2% 1.360.200 98,4% -10,06% +2,37% 2 MSIL 33.020 2,6% 18.561 1,4%3 +77,90% +26,78% 3 WebScripts 1.087 0,1% 1.672 0,1% -34,99% -50,06% 4 Java 426 <0,1% 662 <0,1% -35,65% +95,33% 5 Scripts4 392 <0,1% 483 <0,1% -18,84% -39,99%

Tabelle 1: Top 5 Plattformen der letzten beiden Halbjahre

2 Als Malware für Windows betrachten wir ausführbare Dateien im PE-Format, die dort für Windows deklariert werden, oder ausführbare

Dateien, die in der Microsoft Intermediate Language (MSIL) erstellt wurden. MSIL ist das Zwischenformat, das im .NET-Umfeld verwendet wird. .NET-Anwendungen sind zwar weitestgehend plattformunabhängig, sie werden aber de facto fast ausschließlich auf Windows-Rechnern verwendet.

3 An dieser Stelle wurde ein Rundungsfehler korrigiert, von fälschlicherweise 1,3% auf 1,4%. 4 "Scripts" sind Batch- oder Shell-Skripte oder Programme, die z.B. in den Skriptsprachen VBS, Perl, Python oder Ruby geschrieben wurden.

Abbildung 2: Anzahl neuer Schädlinge pro Malwarekategorie in den letzten sechs Halbjahren



Im Jahresvergleich von 2012 zu 2011 zeigt sich, dass die Zahl der neuen WebScripts um die Hälfte zurückgegangen ist. Dies lässt jedoch nicht zwangsläufig den Schluss zu, dass die Gefahr, die von manipulierten Webseiten ausgeht, geringer wird, da die hier angewendete Zählweise auf neuen Signaturen basiert und nicht auf tatsächlich registrierten Angriffen. Genauere Angaben zur tatsächlichen Bedrohungslage im zweiten Halbjahr 2012 finden sich im Kapitel „Gefahren-Monitor“.

Die Menge der Signaturen, die auf die Plattform Java abzielen, hat sich dagegen im gleichen Zeitraum fast verdoppelt – eine mögliche Erklärung dafür ist die wiederholte Anfälligkeit für Exploits, die Oracles Java im Jahr 2012 immer wieder in den Fokus der Medien gebracht hat5 und die daraus resultierende Attraktivität von dieser Plattform als Angriffsziel für Cyberkriminelle.

Android-Schadcode Für die Zählung der Android-Malware können unterschiedliche Werte herangezogen werden. Eine Zählweise basiert auf der Auswertung der Anzahl neuer Schaddateien. In den G Data SecurityLabs konnten dem zweiten Halbjahr 2012 insgesamt 139.818 neue Schaddateien6 zugeordnet werden und somit mehr als das Fünffache des vorherigen Halbjahres. In einigen Fällen empfangen die G Data SecurityLabs Datei- Sammlungen mit einer großen Anzahl neuer Schaddateien aus einem längeren Zeitraum und eine Zuordnung zu einem exakten Datum ist dann nicht immer möglich. Um solche Spitzen in der Auswertung der Realität anzugleichen, werden die nicht eindeutig datierbaren Daten anteilig auf die Vormonate aufgeteilt.7 Danach ergibt sich die Verteilung aus Abbildung 3.

Den einzelnen Dateien kann man anhand von zugehörigen Signaturen8 bestimmten Familien und ihren Varianten zuordnen. 88.900 der neuen Schaddateien sind eindeutig als Malware identifiziert worden9 und können auf 1.132 verschiedene Schädlingsvarianten abgebildet werden. Diese 1.132 Schädlingsvarianten basieren auf 314 unterschiedlichen Schädlingsfamilien. Im letzten Halbjahr zählten die Experten 131 neue Familien. Eine Auflistung der produktivsten Familien, also den Familien mit den meisten Varianten, geht aus Tabelle 2 hervor.

5 http://blog.gdata.de/artikel/cve-2012-4681-der-neue-java-0-day-wird-heftig-einschlagen/

http://blog.gdata.de/artikel/der-neue-java-0-day-exploit-gefaehrdet-aktiv-websurfer/ 6 Ein Android Schädling kann aufgrund mehrerer Dateien identifiziert werden. Das Installationspaket (APK) enthält viele weitere Dateien,

die u.a. den Code und die Eigenschaften enthalten. Bei der vorliegenden Zählweise werden Erkennungen für APK und ihre jeweiligen Komponenten zu einer Schaddatei zusammengefasst, auch wenn tatsächlich mehrere Dateien in unserer Sammlung vorliegen.

7 63,8% der neuen Schaddateien aus H2 2012 konnten einem exakten Datum zugeordnet werden. Die restlichen Dateien wurden für die aktuelle Berechnung auf 3 bzw. 6 Monate verteilt.

8 Die Zählung der Signaturen und Varianten basiert auf den Signaturen der G Data MobileSecurity Produkte. 9 Von 139.818 Samples wurden 50.918 Samples als „potentiell unerwünschte Programme“ und mit generischen Signaturen identifiziert.

Familie # Varianten FakeInst 90 SMSAgent 80 Ginmaster 63 Opfake 55 Agent 46

Tabelle 2: Liste der Android- Familien mit den meisten Varianten in H2 2012

Abbildung 3: Verteilung neuer Samples, die zu H2 2012 zugeordnet werden konnten, nach der Angleichung.

http://blog.gdata.de/artikel/cve-2012-4681-der-neue-java-0-day-wird-heftig-einschlagen/

http://blog.gdata.de/artikel/der-neue-java-0-day-exploit-gefaehrdet-aktiv-websurfer/



Analog zu den Analysen, die im Bereich der PC-Malware durchgeführt wurden, lässt sich auch im Bereich Malware für mobile Geräte sagen, dass die Mehrzahl der neuen Schädlinge Trojanische Pferde sind.10 Der Anteil der Adware an der neuen Malware ist vergleichsweise gering, aber Angriffe mit dieser Art von Schädlingen steht gerade erst in den Startlöchern und wir erwarten, dass es in der Zukunft mehr neue Schaddateien gibt, die dem Angreifer Profit durch Werbeeinblendungen und ähnliches einbringen, so wie es im Kapitel „Neuer Trend in 2012: Adware“ dargestellt wird.

Die Prognose, dass die Anzahl neuer Schaddateien steigen wird und auch die Zahl der Familien kontinuierlich zunimmt, traf somit voll zu. Es wurden auch neue Angriffsszenarien gesehen, die in neuen Familien eingebaut wurden. Mehr dazu im Kapitel „Android: Das attraktive OS – für Nutzer und Angreifer“.

Gefahren-Monitor Die Zahl der abgewehrten Angriffe gegen Computernutzer mit G Data Produkten und aktivierter MII11 nahm auch im zweiten Halbjahr 2012 zu. Aus den Auswertungen ergibt sich folgende Top 10 für die am häufigsten abgewehrten Angriffe:

Rang Name Prozent

1 Win32:DNSChanger-VJ [Trj] 9,24%

2 Trojan.Wimad.Gen.1 3,10%

3 Win64:Sirefef-A [Trj] 1,99%

4 Trojan.Sirefef.HU 1,15%

5 Trojan.Sirefef.GY 1,11%

6 Trojan.Sirefef.HH 0,86%

7 Exploit.CVE-2011-3402.Gen 0,78%

8 Trojan.Sirefef.HK 0,75%

9 Generic.JS.Crypt1.C14787EE 0,61%

10 JS:Iframe-KV [Trj] 0,58%

Die primäre Erkenntnis ist, dass der Trojaner Sirefef, oder auch Zero Access genannt, in seinen verschiedenen Varianten die Top 10 dieses Halbjahres dominiert. Schon im ersten Halbjahr haben wir diese Trojanerfamilie mit ihrer modularen Struktur beleuchtet und erläutert, dass die Hauptintention Klickbetrug ist, welche Angreifern Geld in die Kasse spült.

In den letzten sechs Monaten des Jahres 2012 hat es so viele verschiedene Varianten dieses Schädlings gegeben, dass sie die Ränge der Top 10 quasi überspülen. Wären alle Varianten unter einer Signatur zusammengefasst, würde diese sich in den oberen Platzierungen wiederfinden und die Variation der MII Top 10 des zweiten Halbjahres wäre deutlicher zu erkennen.

10 Vgl. Abbildung 2. 11Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G Data Sicherheitslösungen kann

daran teilnehmen. Vorrausetzung hierfür: Er muss diese Funktion in seiner G Data Sicherheitslösung aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G Data SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G Data SecurityLabs gesammelt und statistisch ausgewertet.

Tabelle 3: Die Top 10 der durch die MII registrierten Angriffe in H2 2012



So sehen wir aktuell jedoch vor allem die hohe Anzahl von entdeckten Win32:DNSChanger-VJ [Trj] Schädlingen auf Rang eins. Dieser Schädling wird sehr häufig als Payload der Sirefef-Familie mitgeliefert und nimmt somit logischerweise ebenfalls einen hohen Rang in der Statistik ein.

Abgesehen von der Klickbetrug-Funktion vieler Sirefef-Schädlinge, finden sich in der Auflistung des zweiten Halbjahres 2012 keine expliziten Adware-Schädlinge. Dies bestätigt den Trend, den wir schon nach der ersten Jahreshälfte angedeutet hatten und auch die Entwicklung in der signaturbasierten Zählung, die in Abbildung 2 dargestellt wird.

Lediglich Schädlinge mit der Bezeichnung Generic.JS.Crypt1.C14787EE könnten aus der vorliegenden Halbjahres Top 10 ansatzweise noch zu dieser Kategorie gezählt werden. Diese Erkennung tritt auf, wenn in Webseiten ein bestimmtes JavaScript benutzt wird, um Werbungen anzuzeigen. Es wird jedoch auch dafür genutzt, künstlich Klicks zu generieren, um nach dem pay-per-click Verfahren Geld zu erwirtschaften.

Neu unter den dargestellten Hauptakteuren finden wir Exploit.CVE-2011-3402.Gen. Die Signatur für den in CVE-2011-3402 beschriebenen Exploit schlägt dann an, wenn infizierte Dokumente, z.B. speziell präparierte Microsoft Word Dokumente oder auch präparierte Schriftartendateien die Sicherheitslücke auszunutzen, um dann weitere schädliche Aktionen auf dem Opfer-Rechner auszuführen, wie z.B. einen Download und die Ausführung von beliebigem anderem Schadcode.



Webseiten-Analysen

Kategorisierung nach Themen Im zweiten Halbjahr 2012 hat sich einiges getan bei der Untersuchung der Kategorien der als bösartig gekennzeichneten Webseiten.12

Die Top 10 der Kategorien summieren sich zu 88,6% auf, ein Plus von 17,9% gegenüber dem H1 2012, und deckt damit fast gänzlich die Themenpalette ab, auf die sich Angreifern im vergangenen Halbjahr fokussiert haben.

Die Themen Forum, auf Rang 4 eingestiegen, und Sport, aktuell auf Rang 8, sind neu hinzugekommen und haben die Kategorien Spiele und Musik aus den Top 10 verdrängt.

In den Top 3, Technologie & Telekommunikation, Bildung und Wirtschaftsleben, verzeichnen wir einen erhöhten Anteil von Webseiten, die für PayPal-Phishing missbraucht wurden. Auch der Bereich Reise fällt im vergangenen Halbjahr durch diese Art von Phishing auf, wobei dort auch andere Betrugsseiten in Bezug auf Banken registriert wurden. Mehr spannende Einsichten zum Thema Online-Banking werden im gleichnamigen Kapitel auf Seite 11 gewährt.

Die Kategorien Forum und Blog werden häufig in Verbindung mit Malware-Angriffen registriert. Der Hauptgrund dafür ist eine Vielzahl von Schwachstellen, die in einigen populären kostenlosen Foren- und Blogger-Webapplikationen vorhanden sind und die von Angreifern ausgenutzt werden. Mit Hilfe von Suchmaschinen spüren sie verwundbare Plattformen auf, fahren dann automatisierte Angriffe dagegen und manipulieren die Webseiten für ihre bösartigen Zwecke. Die Angreifer erreichen damit eine breite Masse an potentiellen Opfern.

Auch die Kategorie Pornographie ist im Allgemeinen nicht ganz unerwartet in der Top-Liste zu finden. Jedoch muss man hier klar unterscheiden zwischen seriösen Anbietern von Erwachseneninhalten und z.B. Abzockseiten. Webseiten dieser zuletzt genannten Gattung fallen im Bereich Malware häufig dadurch auf, dass angeblich notwendige Updates für Multimedia- Programme angeboten werden, hinter denen sich Schadcode verbirgt. Aber auch Phishing-Attacken

12 Als bösartige Webseiten werden in diesem Zusammenhang sowohl Phishing-Seiten als auch Malware-Seiten gezählt. Bei der Zählung

wird außerdem nicht zwischen speziell eingerichteten Domains oder einer legitimen Seite, die missbraucht wurde, unterschieden.

Abbildung 4: Die Top 10 der Themen bösartiger Webseiten in H2 2012



werden gemeldet, in denen unseriöse Seitenbetreiber versuchen, persönliche Daten und Kreditkarteninformationen abzugreifen. Seriöse Anbieter haben selbstverständlich ein großes Interesse daran die Privatsphäre und Sicherheit Ihrer Kunden zu schützen und betreiben mitunter einen hohen Aufwand um die IT-Infrastruktur dementsprechend auszurichten.

Fazit:

Im vergangenen Halbjahr ließ sich eine Konzentration auf relativ wenige Themengebiete erkennen. Dies bedeutet jedoch nicht, dass die Gefahr infiziert oder betrogen zu werden nur auf Seiten dieser Kategorien lauert.

Erneut sehen wir jedoch, dass gerade Blogs in der Rangliste der Angriffsziele weit oben stehen, was den Trend der vergangenen Untersuchungen bestätigt. Massenattacken auf veraltete Content Management Systeme mit Sicherheitslücken gehören weiterhin zu den gängigen Methoden und bleiben an der Tagesordnung. Die Manipulation dieser Seiten ist mitunter einfach und betrifft eine breite Masse an Nutzern – somit passt es ideal in das Geschäftsmodell der Cyber-Kriminellen: Wenig Aufwand haben, viel und schnell Profit erzeugen.



Kategorisierung nach Server-Standort Mit Blick auf die Untersuchung von Webseiten ist es nicht nur interessant zu sehen, welche Themen bei bösartig gearteten Webseiten die Nase vorn haben. Die lokale Verteilung der bösartigen Webseiten ist ebenso bemerkenswert, wie Abbildung 5 zeigt.

Nach wie vor ist die Hauptaussage dieser Untersuchung, dass es bestimmte Regionen auf der Welt gibt, die durch ihre infrastrukturellen Gegebenheiten in Bezug auf Telekommunikation besonders attraktiv sind, zum Beherbergen von Webseiten. Dazu zählen vor allem die USA, die im vergangenen Jahr mit Abstand die höchste Anzahl an bösartigen Webseiten bereitstellten und auch Länder Mitteleuropas, wie etwa Deutschland, Frankreich, Spanien und England. Im Vergleich zum ersten Halbjahr 2012 hat China zugelegt und verzeichnet nun mehr attackierende Webseiten als zuvor.

Es zeigt sich, dass im vergangenen Halbjahr die Zahl der gänzlich unbeteiligten Länder abgenommen hat. Die G Data SecurityLabs verzeichnen nur noch wenige weiße Flecken auf der Karte, die gleichbedeutend sind mit dem Null-Wert in der Auswertung. Zentralafrika bleibt jedoch nach wie vor frei von bösartigen Seiten, in anderen Ländern des Kontinents hat die Zahl jedoch im Vergleich zu H1 2012 zugenommen. Bedenkt man die doch eher als gering eingeschätzte Anzahl an allen gehosteten Webseiten auf dem Kontinent, die sich auf Südafrika konzentrieren, eine Studie13 spricht von 0,27% der Alexa Top 1 Millionen, dann ist diese Zunahme jedoch schon erwähnenswert.

13 http://royal.pingdom.com/2012/06/27/tiny-percentage-of-world-top-1-million-sites-hosted-africa/

Abbildung 5: Flächenkartogramm mit Informationen zur Häufigkeit der gehosteten, bösartigen Webseiten in den Ländern

Weniger beliebte Server-Standorte

Beliebte Server-Standorte

http://royal.pingdom.com/2012/06/27/tiny-percentage-of-world-top-1-million-sites-hosted-africa/



Online-Banking Im Bereich der Online-Banking-Trojaner gab es im zweiten Halbjahr 2012 durchaus einige interessante Entwicklungen. Die Anzahl an Infektionen sank kontinuierlich, wobei im Dezember nurnoch knapp ein Drittel der potentiellen Infektionen von Juli auftraten.

Ein Grund hierfür dürften die bereits im ersten Halbjahr erfolgten Festnahmen führender Cyberkrimineller im Bereich der Online-Banking Schadsoftware sein.14 Offenbar war insbesondere die Anzahl an Programmierern in diesem Bereich sehr gering, so dass mit einem Schlag praktisch sämtliche Weiterentwicklungen der Trojaner gebremst werden konnten. Dadurch waren unter anderem AV-Hersteller in der Lage sich stärker zu positionieren.

Praktisch sämtliche bekannten Banking-Trojaner wiesen dadurch im zweiten Halbjahr 2012 sinkende Infektionszahlen auf, wie Abbildung 7 deutlich zeigt. SpyEye verschwand fast vollständig von der Bildfläche. ZeuS konnte sich, insbesondere dank des ZeuS-Klons Citadel, vor Bankpatch und Sinowal an die Spitze setzen, allerdings ebenfalls auf deutlich sinkendem Gesamtniveau.

Bemerkenswerte Kampagnen Neuere Trojaner, wie Shylock und Tilon, konnten bisher offenbar nicht die entstandene Lücke schließen und blieben weitestgehend unbedeutend. Lediglich Tatanga konnte signifikante Infektionszahlen aufweisen. Ein interessanter Fall ist außerdem der Trojaner Prinimalka15. Hierbei handelt es sich um eine angeblich anstehende, großangelegt koordinierte Attacke mit dem Namen „Projekt Blitzkrieg“ auf Kunden amerikanischer Banken. Bisher ist allerdings nichts über den tatsächlichen Beginn der Attacke bekannt. G Data konnte bisher außerdem keine signifikanten Infektionszahlen feststellen.

14 Die G Data SecurityLabs berichteten im G Data MalwareReport 1/2012. 15 http://krebsonsecurity.com/2012/10/project-blitzkrieg-promises-more-aggressive-cyberheists-against-u-s-banks/

https://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive-wave-of-trojan-attacks-against-u-s-banks/

Q3 2012 Bankpatch 29,1% Citadel 25,5% ZeuS 23,3% Sinowal 16,3% Spyeye 3,1% Andere 2,7% Q4 2012 Citadel 24,0% Bankpatch 22,8% ZeuS 17,9% Sinowal 13,2% Tatanga 10,1% Andere 12,0%

Tabelle 4: Anteil der durch BankGuard detektierten Banking-Trojaner Familien in Q3 und Q4 2012 Abbildung 6: Anteil der von BankGuard detektierten

Banking-Trojaner Familien in H2 2012



Eine bereits erfolgreiche gezielte Attacke war die zu Beginn des zweiten Halbjahres bekannt gewordene „Operation High Roller“. Technisch wurden hier ältere Trojaner wie ZeuS und SpyEye verwendet. Allerdings wurden die Angriffsschemen derart verbessert, dass selbst die Authentifizierung einer Transaktion mit Chipkarten vollständig und unbemerkt umgangen werden konnte. Bei der „Operation High Roller“ wurden gezielt Konten mit hohen verfügbaren Geldmengen, wie z.B. Geschäftskonten, attackiert. Von diesen Konten wurden erhebliche Geldsummen zu sogenannten „money mules“ (Geldwäscher) transferiert. Die genauen Summen sind nicht bekannt, sollen sich aber Berichten zufolge zwischen 60 Millionen und zwei Milliarden Euro befinden. Ein Teil dieses Geldes dürfte zwar von der Bankenseite aus blockiert worden sein, insgesamt dürfte die gestohlene Geldsumme trotzdem bisher unbekannte Dimensionen gehabt haben. Die G Data BankGuard-Technologie verhindert Angriffe dieser Art nach wie vor zuverlässig.

Ausblick Welcher Banking-Trojaner das Feld 2013 anführen wird, erscheint zurzeit mehr als unklar. Bankpatch hat derart stark abnehmende Infektionszahlen, dass die Zukunft des Trojaners fraglich erscheint. Der Autor der ZeuS-Variante Citadel scheint aktuell untergetaucht zu sein, so dass auch hier nicht zwangsläufig mit einer erneuten Topplatzierung zu rechnen ist. Neue ZeuS-Klone wird es mit Sicherheit geben, ob diese allerdings das Infektionsniveau von Citadel erreichen, bleibt abzuwarten. Einige Zeichen sprechen für eine Rückkehr von Carberp, wobei Carberp in bisherigen Untersuchungen nie besonders hohe Infektionszahlen vorweisen konnte. Im Untergrund wird er jedoch aktuell wieder gehandelt und die Entdeckung einer Carberp-in-the-mobile Variante16 spricht ebenfalls für Aktivität.

Insgesamt ist für das Jahr 2013 trotzdem nicht unbedingt zu erwarten, dass die zuletzt gesunkenen Infektionszahlen durch Banking-Trojaner noch weiter absinken. Die hohen finanziellen Verdienstmöglichkeiten dürften nach wie vor eine große Anzahl an Kriminellen anziehen. Allerdings werden die Hintermänner sehr wohl die Gefahr der Strafverfolgung ernster nehmen als zuvor.

Nicht nur die Hintermänner, sondern auch die Personen, die für den praktischen Einsatz zuständig sind, dürften durch die erfolgreichen Ermittlungen der Behörden aufgeschreckt worden sein.

16 Siehe Abbildung 8.

Abbildung 7: Entwicklung der Infektionszahlen der Top 5 Banking-Trojaner aus H2 2012



Deshalb ist auch hier mit einem erhöhten Sicherheitsbewusstsein in der Untergrund-Branche zu rechnen. Mitunter wird im Untergrund darüber diskutiert, die Kommunikation von Banking- Trojanern über das Tor-Netzwerk ablaufen zu lassen17, so wie es unlängst bei anderen Botnetzen wie Skynet beobachtet werden konnte.

Bisher war das Zentrum des Handels mit Banking-Trojanern vornehmlich der osteuropäische Raum. Da sich sämtliche Akteure weitestgehend sicher vor Strafverfolgung fühlten, wurde das Geschäft im Internet auch eher offen vollzogen. In diesen Regionen wurden aber offenbar Aktionen unternommen, die Zeichen gegen diese vermeintliche Sicherheit setzen. Der Handel dürfte sich damit deutlich stärker in den Untergrund verlagern, als es bisher der Fall war. Es wäre außerdem denkbar, dass sich der Markt um Banking-Trojaner verstärkt in Länder verlagert, in denen eine Strafverfolgung unwahrscheinlicher scheint.

17 http://blog.gdata.de/artikel/in-tor-versteckter-botnet-command-server/

http://blog.gdata.de/artikel/in-tor-versteckter-botnet-command-server/



Android: Das attraktive OS – für Nutzer und Angreifer G Data legte auch im zweiten Halbjahr 2012 eines der Hauptaugenmerke auf die aktuellen Bedrohungen für Mobilgeräte und Smartphones. Der immer noch sehr junge Markt bot Angreifern nach wie vor vielfältige Möglichkeiten mit einfachen Mitteln Malware zu erstellen und zu verbreiten. So fanden sich unter den Malware Vorfällen im Bereich Mobilgeräte im zweiten Halbjahr altbewährte Bekannte in leicht abgeänderten Variationen, aber auch Malware, die neue Wege geht. Allgemein war zu beobachten, dass die Malware durchaus durchdachter, umfangreicher und technisch ausgefeilter war, als zuvor. Auch die Anzahl der neuen Malware-Samples stieg in diesem Halbjahr erheblich an.18

Neuer Trend in 2012: Adware Die Entwicklung im Bereich Adware für Mobilgeräte steht im Gegensatz zu den Erkenntnissen über Adware, die wir im Bereich der PC Malware gewonnen haben.19 Der nach wie vor einfachste Weg für Schadsoftwareautoren ist die Methode, einmalig oder in Intervallen, unter Umständen erheblich kostenintensive, Premium-SMS zu versenden. Jedoch sind bei der Installation dafür Berechtigungen nötig, die dem Benutzer höchstens bei Dritt-Market Anbietern unterschlagen werden können, aber im Google Play Store befindliche Apps verlangen immer auch die entsprechende Bestätigung vom Benutzer. Problematisch bleibt auch hier jedoch die Sorglosigkeit, mit der Nutzer häufig Apps aus inoffiziellen Märkten auswählen und mit der sie von Apps geforderte Berechtigungen leichtfertig akzeptieren. Seit der Android Version 4.2 muss der Benutzer sogar die komplette Liste der erfragten Berechtigungen lesen/durchklicken, bevor die App tatsächlich installiert werden kann, doch auch das ändert nichts an der weit verbreiteten Click-and-Forget Mentalität der Benutzer.

Ein neues, lukratives Geschäftsmodell: auch bei im Google Play Store gelisteten Apps lassen Angreifer potentiell kostenpflichtige Dienste zur Ausführung kommen, ohne dafür die entsprechende Berechtigung zu besitzen - dies geschieht mit Hilfe von Adware. Diese beinhaltet zunächst einmal nur das Anzeigen von Werbung oder weiterer Software. Diese Anzeigen werden jedoch auf immer aggressivere Weise dazu verwendet, Benutzer dazu zu verleiten, weitere (Schad-)Software zu installieren.

18 Vgl. Kapitel „Android-Schadcode“ auf Seite 5. 19 Siehe Seite 4 und Seite 7.

Abbildung 8: Auswahl von in 2012 erschienener Malware für Mobilgeräte



Android Nutzer wurden auch im zweiten Halbjahr 2012 vor allem mit dem Trojaner Android.Trojan.FakeDoc.A, kurz FakeDoc.A, konfrontiert.20 Versteckt in Apps wie etwa „Battery Doctor“ spioniert der Trojaner Gerätedaten, sowie Kontaktdaten aus. Der geringe Funktionsumfang beinhaltet lediglich Anzeigen über den Akkustand und das Verwalten der WLAN- und Bluetooth Verbindung des Mobilgerätes. Der technisch interessantere Vorgang verbirgt sich im Hintergrund. Der Trojaner installiert zusätzlich zu der App einen Adware Dienst, der Push-Nachrichten auf dem Smartphone anzeigt. Dabei handelte es sich um Werbung, die zu weiterer Malware verlinkt, sowie zu fragwürdigen Webseiten. Auffällig ist hierbei, dass der nachinstallierte Dienst auf dem Gerät bestehen bleibt, selbst wenn der „Battery Doctor“ deinstalliert wird. Es ist für den Nutzer also im Nachhinein nicht nachvollziehbar, welche App diesen Dienst ursprünglich initialisierte und was deinstalliert werden muss, um auch den Dienst zu deinstallieren.

Die Autoren der Schadsoftware Android.Trojan.MMarketPay.A, kurz MMarketpay.A, haben sich einer ähnlichen Vorgehensweise bedient, um weitere Malware zu verbreiten. Trojanisierte Anwendungen, wie zum Beispiel „Go Weather“, „Travel Sky“ oder „ES Datei Explorer“ wurden auf überwiegend chinesischen Internetseiten und auf Markets von Drittanbietern zum Herunterladen angeboten.

In diesem Fall handelte es sich vorwiegend um eine Wetter App, die ebenfalls einen nur geringen Funktionsumfang mit sich brachte und nur wenige Informationen zum Wetter bot. Neben

Schadfunktionen, wie kostenpflichtigen Diensten, die in chinesischen Markets ohne Zutun des Benutzers auf Einkaufstour gingen21, warb MMarketpay.A für weitere, mit dem Trojaner infizierte Software.

Das Verbreiten von (Schad-)Software durch Werbung in bereits trojanisierten Apps fand 2012 neuen Nährboden. Das Besondere an dieser Art der Adware ist, dass sie je nach Land, IP abhängig, die passende Software anbot. Dabei leitet die Adware den Nutzer beim Klick auf das Angebot nicht etwa in den Google Play Market weiter, sondern auf in Asien befindliche Markets von Drittanbietern, oder Webseiten und somit zu in den meisten Fällen unsicheren und nicht vertrauenswürdigen Downloadquellen. Kunden, die in ihrem Android Gerät die Installation von Software unbekannter Herkunft erlauben, erhalten in solchen Situationen keinerlei Hinweis auf die fragwürdige Quelle.

Obwohl die beschriebene, unter Umständen kostenpflichtige, Schadfunktionalität von MMarketpay.A auf China beschränkt war, bietet sich dennoch ein düsterer Ausblick für die Zukunft, da sich die Art des Angriffes mit wenigen Modifikationen auch auf europäische und amerikanische Märkte anwenden ließe. So ist es gut vorstellbar, dass eine abgeänderte Variante dieser Schad-App auch in Europa

20 G Data berichtete bereits im MalwareReport 1/2012 ausführlich über FakeDoc. 21 http://blog.gdata.de/artikel/neue-android-malware-geht-shoppen-auf-ihre-kosten/

Screenshot 1: Die mit dem Trojaner MMarketpay.A befallene Go Weather App

Screenshot 2: Aus der App heraus beworbene, auf einem chinesischen Server liegende Apps

http://blog.gdata.de/artikel/neue-android-malware-geht-shoppen-auf-ihre-kosten/



auftaucht und Kunden europäischer Mobilfunk-Anbieter ins Visier nimmt. Die Bequemlichkeit des Kunden, u.a. möglichst wenige Hürden nehmen zu müssen, um sich z.B. bei Markets anzumelden, steht hierbei in starkem Kontrast zur Sicherheit.

Malware im Google Play Store

Trotz der Einführung des von Google entwickelten Systems Google Bouncer, das offiziell seit Anfang 2012 Apps überprüft, die in Google Play eingestellt werden, fand sich auch im zweiten Halbjahr 2012 Malware in Google Play. Ein Beispiel dafür, dass es Malware trotz der Sicherheitsvorkehrungen in den Google Play Store und sogar in den Apple App Store schaffte, ist Android.Trojan.FindAndCall.A, kurz FindAndCall.A.

Beim Ausführen der App versendete die Malware FindAndCall.A ohne das Zutun des Benutzers dessen Adressbuch an einen vom Angreifer definierten Server. Dieser Server verschickte daraufhin SMS Spam, sowie den Link zur Schad-App an alle vorhandenen Einträge. Dies alles geschah mit dem Benutzer als Absender, was ein großes Gefahrenpotential barg. Die Quelle der SMS war augenscheinlich eine bekannte und eigentlich vertrauenswürdige Quelle und Empfänger der SMS waren so dazu geneigt, den „Empfehlungen“ des Absenders zu folgen.

Immer raffiniertere Malware Mit den Erläuterungen zur aufgetauchten Adware wurde es schon angedeutet – es gibt so etwas, wie einen neuen Trend: die Schadsoftware wird zunächst simpel gehalten, hält sich jedoch Optionen für eine spätere Ausweitung der Funktionen offen. So beinhaltete z.B. FindAndCall.A die Funktion, die GPS Position des Benutzers auf den vordefinierten Server hoch laden zu können, nutzte es jedoch (noch) nicht.

Sogenannte Crimeware Kits, die potentiellen Kriminellen den Einstieg in die Malware-Szene immer leichter machen, begünstigten die Professionalität von Malware für Mobilgeräte zusätzlich. Malware, die mit Hilfe eines dieser professionell programmierten Baukastensysteme für Schädlinge zusammengesetzt wird, funktioniert in der Regel auf Anhieb und bleibt mit höherer Wahrscheinlichkeit unentdeckt, im Vergleich zu schlecht programmierter, laienhafter Software. Das Prinzip solcher Kits ist im Bereich PC-Malware schon lange bekannt und auch weit verbreitet. Durch die Nutzung der Kits im PC-Bereich entstehen vornehmlich Trojanische Pferde, was sich in der hohen Anzahl neuer Signaturvarianten aus Abbildung 2 auf Seite 4 widerspiegelt. Angreifer, denen die Programmierfertigkeiten fehlen oder die einfach schnell an neue Malware für ihre Zwecke kommen wollen, bezahlen schlicht die Werkzeuge zur Erstellung. Das Prinzip solcher Kits, mit dem sich gewünschte Schadfunktionen auswählen und zu einer Schad-App packen lassen, macht es möglich, dass Malware und ihre Schadfunktionalitäten immer umfangreicher werden.

Screenshot 4: Find And Call in Google Play Screenshot 3: Find And Call im Apple App Store



Etwa zur selben Zeit, zu der FindAndCall.A Wellen schlug, veröffentlichten amerikanische Wissenschaftler einen Bericht darüber, wie sie eine harmlose, legitime App entwickelten, sie nach und nach mit immer mehr verdächtigen Funktionen ausstatteten und wiederholt von Googles Bouncer scannen ließen. So lange die Entwickler die integrierten Schadfunktionen nicht mit höchst unrealistischen Werten versahen (z.B. einen Serverkontakt pro Sekunde, anstelle eines Serverkontakts etwa alle 15 Minuten), war die App für den automatisierten Türsteher nicht verdächtig und verblieb im Google Play Store.22 Eine Untersuchung dieser Art zeigt erneut, dass ein Nutzer es sehr schwer hat, die inzwischen raffiniert programmierte Malware, selbst wenn sie aus dem Forschungslabor kommt, zu erkennen. Selbst Googles Sicherheitsmechanismen griffen erst spät ein, um die Gefahr aus dem hauseigenen Store zu bannen. Zusätzlicher Schutz der mobilen Endgeräte durch umfassende Schutzsoftware ist inzwischen unerlässlich.

Botnetze im mobilen Bereich Botnetze sind im Bereich der Desktop-Rechner schon lange bekannt und werden von Angreifern zum Beispiel für das Versenden von Spam, für das Angreifen von Webseiten oder Services (DDoS) oder für das Ausspionieren von Daten missbraucht. Dabei kann die Größe der Botnetze variieren, von einigen wenigen infizierten Rechnern bis hin zu tausenden der so genannten Zombies.

Auch Mobilgeräte können zu Bots werden wenn Angreifer Vollzugriff, den so genannten Rootzugriff, auf die Geräte bekommen. Dazu nutzen sie beispielsweise nicht geschlossene Sicherheitslücken im Betriebssystem aus.

Die Backdoor Android.Backdoor.SpamSold.A, kurz SpamSoldier.A, lockt Nutzer mit einer modifizierten Raubkopie des populären Spiels Angry Birds in die Falle. Die infizierte App wird auf Markets von Drittanbietern oder auch Webseiten zum Download angeboten. Gelangt die Backdoor erst einmal auf das Gerät, erhält sie von ihrem Command & Control Server eine Liste mit Telefonnummern und versendet unbemerkt und auf Kosten des Nutzers einen vorgegebenen Text in Form von Kurznachrichten. Wurden alle SMS verschickt, holt sich das Gerät eine neue Liste ab. Der Nutzer bemerkt diese Vorgänge sehr wahrscheinlich frühestens beim nächsten Blick auf die Mobilfunkrechnung. Der Schaden kann demnach sehr groß ausfallen. Ein Botnetz kann auch dazu

22 http://media.blackhat.com/bh-us-12/Briefings/Percoco/BH_US_12_Percoco_Adventures_in_Bouncerland_WP.pdf

Abbildung 9: Mögliche Umsetzung eines Botnetzes im mobilen Bereich

Angreifer Befehl an Bot: Premium SMS/Anruf

Premium- dienst

Rechnungsstellung Auszahlung

Infiziertes Gerät

http://media.blackhat.com/bh-us-12/Briefings/Percoco/BH_US_12_Percoco_Adventures_in_Bouncerland_WP.pdf



verwendet werden, um von einzelnen Geräten Premiumnummern anrufen zu lassen. Der Vorgang ähnelt dabei dem oben beschriebenen. Der Schaden für den Nutzer kann aber auf Grund der erheblich teureren Premiumdienste auch erheblich größer ausfallen. Auch bei der Nutzung der Botnetze für Mobilgeräte ist das Ziel klar: Schnell und einfach (monetären) Profit machen!23

Ausblick Android ist mit täglich 1,3 Millionen neu aktivierten Geräten ein immer lohnenderes Ziel vielfältiger Angriffsvektoren. Bereits bekannte Malware wird in abgewandelter Form immer wieder auftauchen. Allein zum Weihnachtsfeiertag, dem 25.12.2012, wurden laut einer Flurry Analyse mehr als 17,4 Millionen iOS und Android Mobilgeräte neu aktiviert.24

So wird auch 2013 das Versenden von SMS an Premium-Nummern neben dem Ausspionieren von Daten die vorherrschende Schadfunktion sein. Mit den neuen Technologien, die in die Geräte Einzug halten, bieten sich aber auch neue Möglichkeiten Benutzer und ihre Mobilgeräte anzugreifen. So stellte Google 2011 sein neues Geschäftsmodell Google Wallet25 vor, bei dem seit August 2012 viele führenden Kreditkarteninstitute partizipieren.

Google Wallet ist ein mobiles Bezahlsystem, das es seinen Benutzern erlaubt, Debitkarten, Kreditkarten, Kundenkarten und Gutscheine auf ihrem Smartphone zu speichern. In Geschäften (offiziell aktuell nur in den USA) oder bei mit dem Smartphone angesurften Online-Shops kann leicht und schnell mit dem Mobilgerät bezahlt werden. Der Service nutzt bei der Bezahlung im Geschäft Near Field Communication (kurz: NFC; in Android implementiert seit Version 2.3), mit Hilfe dessen Zahlungen schnell und bequem durch einfaches Annähern des Telefons auf jedem PayPass-fähigen Endgerät an der Kasse durchgeführt werden können. Da viele seit 2012 erschienenen Smartphones NFC von Haus aus mit sich bringen, wird die Attraktivität dieser Technologie für Angreifer noch steigen, jedoch ist die Benutzung der NFC- Techniken weiterhin nicht flächendeckend verfügbar und somit spielt dies zunächst noch eine untergeordnete Rolle. Dort mit hinein spielt die noch vorhandene Unkenntnis der Benutzer über die Funktionalität und die Gefahren, die NFC mit sich bringt. Da diese Technologie noch relativ jung ist, fanden sich zum Beispiel auch in Google Wallet Sicherheitslücken, die den Bezahlvorgang unsicher machten.26 Da einige Informationen außerhalb der App gespeichert und abgerufen wurden, konnten Hacker durch Abhören des Datenflusses an Sicherheitskritische Informationen gelangen.

Die Kriminellen werden auch 2013 ein Augenmerk auf mobile Geräte richten. Der hohe Absatz von Geräten, der nach wie vor ansteigt, macht Android als Ziel von Kriminellen weiterhin interessanter. Neue Technologien, wie NFC, die sich, wenn auch langsam, immer weiter verbreiten, sowie schnellere Mobilfunkverbindungen und größere Datenvolumen bringen für 2013 vielfältige, neue Angriffspunkte mit sich.

So lange die Angreifer jedoch mit für sie einfachen Mitteln schnellen Profit machen können, wie zum Beispiel einer kostenfrei angebotenen trojanisierten Kopie einer populären kostenpflichtigen App, werden sie diese Wege auch weiterhin beschreiten. Wenn die Kosten-Nutzen-Rechnung in diesen Fällen zu sehr zu Kosten für die Angreifer tendiert, dann werden sich vermehrt neue Szenarien auftun – in diesem Fall stehen die Angreifer der Mobilgeräte den PC-Angreifern in nichts nach.

23 Siehe Abbildung 9. 24 http://blog.flurry.com/bid/92719/Christmas-2012-Shatters-More-Smart-Device-and-App-Download-Records 25 http://www.google.com/wallet/faq.html 26 http://bgr.com/2012/02/10/google-wallet-hacked-again-new-exploit-doesnt-need-root-access-video/

Screenshot 5: Andy Rubins Tweet zu Aktivierungen von Android-Geräten

Documents

G Data MalwareReport H2/2012 - G Data Software · Tabelle 1: Top 5 Plattformen der letzten beiden Halbjahre 2 Als Malware für Windows betrachten wir ausführbare Dateien im PE-Format,