Malware auf mobilen Geräten: Alter Wein in neuen Schläuchen?

Felix FreilingFelix Freiling

IT-Sicherheit am Donaustrand, Regensburg, 7.7.2010

2/36

3/36

Quelle: apple.com

4/36

Quelle: nokia.com

5/36

Quelle: google.de

Mobiltelefone

● Wer besitzt eines der gezeigten Modelle?● Wer besitzt eines der gezeigten Modelle?

● Wer besitzt mehr als ein Mobiltelefon?

● Wer besitzt ein Mobiltelefon, das älter als ein Jahr ist?

● Wer trägt sein Mobiltelefon auch im Urlaub bei sich?

6/36

bei sich?

Schadsoftware

● Allgemeiner Begriff: Schadcode– Ausführbarer Programmcode, der schädliche Funktionen

enthält– Meist in Form von Schadprogrammen (Schadsoftware,

Malware)– Potentially Unwanted Programs (PUPs)

● Beispiele im PC-Bereich: Viren, Würmer, Trojaner– PCs infizieren, um PC-Ressourcen zu missbrauchen

7/36

– PCs infizieren, um PC-Ressourcen zu missbrauchen

● Treibende Kraft: kriminelle Industrie, die daran Geld verdient

– Diebstahl von Daten, SPAM, Erpressung (Denial-of-Service)

Botnets

8/368

9/36Quelle: IMDB

10/36Quelle: bild.de

Malware auf Mobiltelefonen?

11/36Quelle: google.de, bild.de

Die mobile Welt

12/36Quelle: Becher

Spezifika im Vergleich zu PCs

● Direkte Erzeugung von Kosten– Teure „Premium“-Telefonnummern werden auf

absehbare Zeit bleiben

● Existenz eines Netzwerkbetreibers– Kontrolle des Netzes an zentralen Punkten möglich– Begrenzte Kontrolle der Mobiltelefone durch Betreiber

(Firmware-Update, SIM-Karte)

● Begrenzte Ressourcen des mobilen Gerätes

13/36

● Begrenzte Ressourcen des mobilen Gerätes– Batterie, zum Teil auch Speicherplatz und Rechenzeit– Relativ hohe Diversität der Technologien

● Unerfahrene Benutzer

14/36Quelle: premiumrate.com.au

Historisch relevante Beispiele

● Cabhir (2004)● Cabhir (2004)

● Skulls (2004)

● BlankFont (2005)

● CommWarrior (2006)

15/36

Cabhir (2004)● Befällt SymbianOS

● Übertragungsweg: infizierte Installations-Datei über Bluetooth

● Schadfunktion: keine, bis auf Batterieverbrauch durch dauernde Verbreitungsversuche/Senden über BluetoothVerbreitungsversuche/Senden über Bluetooth

16/36

17/36Quelle: F-Secure

Skulls (2004)

● Befällt SymbianOS● Befällt SymbianOS

● Übertragungsweg: infizierte Installationsdatei

● Schadfunktion: überschreibt Dateien und Logos, macht System unbenutzbar

18/36

System unbenutzbar

Blankfont (2005)

19/36

CommWarrior (2006)

● Befällt SymbianOSBefällt SymbianOS

● Übertragungsweg: infizierte Installationsdatei

● Erster Schadcode, der neben Bluetooth auch über MMS

20/36

auch über MMSverschickt wurde– Globale Verbreitung

21/36Quelle: Becher

Erstes Fazit

● Die meiste mobile Malware gibt es (noch) für ● Die meiste mobile Malware gibt es (noch) für SymbianOS (also Telefone von Nokia)

● Die meiste mobile Malware verbreitet sich auf Basis von Benutzerinteraktion

– Diversität der Plattformen von Vorteil

– Gefahr durch „homogene“ Frameworks wie .NET

22/36

– Gefahr durch „homogene“ Frameworks wie .NET oder J2ME (Java)

MMS-Titel bei CommWarrior

● Matrix has you. Remove matrix!

3DGame from me. It is FREE ! ● 3DGame from me. It is FREE !

● MS-DOS emulator for SymbvianOS. Nokia series 60 only. Try it!

● Nokia ringtoner

● Security update #12

● Live3D driver with polyphonic virtual speakers!

● OS service pack #1 from Symbian inc.

● Happy Birthday! It is present for you!

23/36

● Free *SEX* software for you!

● Porno images

● Internet Cracker

● Norton AntiVirus

24/36http://www.ieweekly.com/site_images_upload/story/2008/02/07/11/sexshopColor_.jpg

Verhaltensregeln

● Altbekannt:● Altbekannt:

– Auf Vertrauenswürdigkeit der Quellen achten

– Nicht alles einfach so installieren

– Insbesondere gefährdete Benutzer: Antivirenprodukte verwenden

Speziell für Mobiltelefone:

25/36

● Speziell für Mobiltelefone:

– Bluetooth ausschalten, wenn es nicht benötigt wird

– Regelmäßig Telefonrechnung kontrollieren

26/36Quelle: itb.net

Mobiltelefone und Straftaten

● Mobiltelefone sind wertvolle Quelle digitaler ● Mobiltelefone sind wertvolle Quelle digitaler Beweismittel

– Kommunikationsbeziehungen (Ruflisten), Kommunikationsinhalte (SMS)

– Große Speichermengen vorhanden (Text, Daten, Bilder)

27/36

● Zugriff (klassisch) über TwisterBox

– Neue Modelle einfacher über manipulierte Bootloader auslesbar

28/36Quelle: Spreitzenbarth

Experiment

● Vorlesung “Forensische Informatik” Sommer 2009

● 10 gebrauchte Mobiltelefone im Internet ersteigert(meist Nokia, ohne SIM-Karten), Kosten 130 €

– 7 Telefone durch Studierende analysiert

● Telefone enthalten teilweise Standarddateisysteme, aber fast immer proprietäre Dateiformate

– Viel händische Analysearbeit, Reverse Engineering

29/36

– Viel händische Analysearbeit, Reverse Engineering

● Kommerzielle Tools verfügbar

– Demo Version des “Cell Phone Analyzer” (verschleiertteilweise die echten Daten durch Punkte)

Nokia 3510i

● Wiederhergestellt wurden:● Wiederhergestellt wurden:

– Kontaktlisten

– gewählte Rufnummern

– eingehende Rufnummern

– gesendete SMS

30/36

– empfangene SMS

● Keine Fotos (3510i hat keine Kamera)

Wear Levelling

● Flash-Speicher kann nur endlich oft beschrieben werdenbeschrieben werden

– Mobiltelefone versuchen, den vorhandenen Speicher möglichst „gleichmäßig“ zu beschreiben

● Beispiel: YAFFS im neuen Google-Phone

Besonders interessant für Forensiker

31/36

● Besonders interessant für Forensiker

Andoid YAFFS

32/36

Zusammenfassung

● Mobile Malware ist eine reale Bedrohung● Mobile Malware ist eine reale Bedrohung

● Stärkere kriminelle Aktivität im Mobiltelefonbereich zu erwarten

● Benutzer als wesentliche Schwachstelle

● Besonderheiten der Mobiltelefone sind interessant für Forensiker

33/36

interessant für Forensiker

● BMBF-Projekt zu mobiler Malware● BMBF-Projekt zu mobiler Malware

● Start voraussichtlich Herbst 2010

● Beteiligt:

– Universität Mannheim

– Ruhr-Universität Bochum

34/36

– Zynamics GmbH, Bochum

– G-Data GmbH, Bochum

Quellen

● Ken Dunham (Hrsg.): Mobile ● Ken Dunham (Hrsg.): Mobile Malware Attacks and Defense. Syngress, 2009.

● Michael Becher: Security of Smartphones at the Dawn of their Ubiquitousness. Dissertation, Universität Mannheim, 2009.

35/36

Dissertation, Universität Mannheim, 2009.

● Michael Spreitzenbarth: Mobile Phone Forensics. Diplomarbeit, Universität Mannheim, 2009.

Abstract

● Malware auf mobilen Geräten: alter Wein in ● Malware auf mobilen Geräten: alter Wein in neuen Schläuchen?

● Inhalt:

– Wie unterscheidet sich mobile Malware von klassischer Malware?

36/36

klassischer Malware?

– Gefahren durch mobile Malware

– Forensische Untersuchung mobiler Geräte