Botnet Angriff Erkennen

Das Smartphone Zombies kommen: Erkennen und Abwehr mobiler Botnets

Die ENISA (European Network and Information Security Agency) Threat Landscape Report identifiziert eine Anzahl von Gefährdungen für Mobilgeräte, die in den kommenden Wochen und Jahren weiter anwachsen werden. Botnetze - ferngelenkte Rechner, die ohne das Wissen ihrer Eigentümer Teil einer kriminellen Tätigkeit werden und z.B. Spam im Namen der Täter verschicken - gehören derzeit zu den grössten Gefahr.

Mittlerweile werden aber nicht nur PC oder Notebook in die Netzwerke von Spammern und Datendieben gelockt, sondern auch Smart-Phones und Tabletts - mit zunehmender Neigung. Deshalb stehen mobile Botnetze auf der Tagesordnung der Datensicherung. Mobil-Botnetze haben viele Gemeinsamkeiten mit PC-Botnetzen, haben aber auch besonders wichtige Merkmale. Ein typisches Merkmal aller Botnetze ist, dass sie aus mehreren entführten Geräten (Bots oder gar einem Zombie) zusammengesetzt sind, die von einem Angriff über C&C-Server (Command and Control Server) aus der Ferne gesteuert werden.

Der Bot kommuniziert mit dem Angriff, dem sogenannten Bot-Master. Für den Bot-Master können Sie unterschiedliche Funktionen wie das Versenden von Spam, das Verbreiten von Schadprogrammen oder das Erfassen von Informationen ohne Wissen des Betroffenen durchführen. Botnetze werden an andere Verbrecher verpachtet und machen Auftragsarbeit, für die der Bot-Master sammelt. Dies macht die mobilen Botnetze zu einer ganz speziellen Gefahr: Die mobilen Geräte sind praktisch permanent mit dem Netz vernetzt (Low-Cost-Datenflatrates) und vom Bot-Master beinahe rund um die Uhr zu erreichen.

Smart-Phones werden oft am Arbeitsplatz und zu Hause eingesetzt - auch nach der Arbeit, im Unterschied zu Büro-PCs. Dies erleichtert das Infizieren und Entführen von Smart-Phones. Oft werden die Datenanschlüsse von Smart-Phones nicht genügend kontrolliert, so dass die Verbindung zum Bot-Master unbemerkt ist. Smart-Phones haben eine Reihe von Interfaces, Anwendungen und Funktionalitäten, die der Bot-Master für seine Zwecke mißbraucht.

Die Smartphones werden zum wichtigsten Speicher für ihre Benutzer und eröffnen so mehr Möglichkeiten für die Diebe. Unterschiedliche Anti-Botnet-Tools können derzeit nur für Desktop-Systeme, nicht aber für Mobilgeräte eingesetzt werden. Mobilfunk-Botnets können viel mehr als nur Spams aussenden. Am Beispiel von Wissenschaftlern der Chinesischen Akademie der Wissenschaften zeigte sich, was ein auf Android-Smartphones basierendes Botnet im SMS-Umfeld kann.

Dazu gehört die Kontaktierung des Bot-Masters via Web, E-Mail und SMS, das Generieren von Phishing-Meldungen, das Lesen und geheime Weitersenden von eingehenden SMS-Nachrichten und das Sperren von bestimmten eingehenden SMS. War " Undbot " noch eine naturwissenschaftliche Untersuchung, so wurden seither eine ganze Anzahl von beweglichen Botnetzen gefunden, von denen jedes eine echte Gefahr darstellte.

Auch die Angriffsrouten sind interessant: Zum Beispiel ein Handy-Botnet, das sich beim Download einer modifizierten Security-App namens Android Market Security Tool verbreitet. Die infizierten Mobiltelefone sollten nach der Infizierung auf Befehl gewisse SMS-Nachrichten senden. Wie umfassend die Funktionalitäten sind, die ein Mobile Botnet missbräuchlich nutzen kann, beweist eine weitere vermeintliche Security-Lösung "Android Security Suite Premium", die im Jahr 2012 gefunden wurde.

Dazu gehören der Zugang zum externen Arbeitsspeicher, die Überwachung von Mobilfunkanrufen, das Ausschalten der Smartphone-Tastatur oder das Ändern der Konfigurationseinstellungen des Smartphones. Diskutiert über Zukunftsthemen wie den Arbeitsort, Talente & Fähigkeiten, Cloud, Sicherheit oder KI. Android hat gezeigt, wie man mit einem Mobile Botnet viel verdient.

Durch die kontaminierten Mobiltelefone wurden Einnahmen für die Angreifer durch die Nutzung von kostenpflichtigen Premium-SMS-, Telefon- und Videodiensten generiert, ohne dass die Betroffenen involviert waren. Die Bots spähen auch die gerätespezifischen Informationen aus, die zur Identifizierung von Smart-Phones verwendet werden können. Die eindeutige Gerätekennung ermöglicht z.B. die Verfolgung von mobilen Internetnutzern, d.h. die Verfolgung von Benutzeraktivitäten im Intranet.

Security-Forscher haben auch Anzeigen für Entwicklungs-Kits gefunden, mit denen Trojaner für den Bau von mobilen Botnetzen erstellt werden können. Entsprechende Botnetze haben die Funktion, SMS-Nachrichten abzuhören und weiter zu leiten. Wenn das infizierte Mobiltelefon verwendet wird, um Einmalpasswörter per SMS zu erhalten, könnte der Botnetzbetreiber die damit verbundene zweifache Authentifizierung zu durchbrechen. Das oben genannte Bmaster Botnet RootStrap demonstriert, wie groß und damit leistungsfähig die mobilen Botnetze werden können.

Es wird geschätzt, dass mit einem solchen Mobile Botnet für den Bot-Master bis zu 3,2 Mio. $ pro Jahr verdient werden können. Ein weiteres Mobile Botnet setzt mit einer Milliarde infizierter Mobiltelefone einen neuen Rekordwert. Anbieter von Sicherheitslösungen wie G Data und Cloudmark rechnen damit, dass Malware für mobile Endgeräte das weitere Wachsen der Botnetze vorantreiben wird.

Caspersky Labs berichtet über einen Mobilbot, der nicht nur das infizierte Handy ausspionierte. Über das Handy selbst werden SMS, Bilder, GPS Koordinaten und der komplette Karteninhalt an den Botmaster übermittelt. In der Fachzeitschrift McAfee Consumer Trends Reports berichtet McAfee über Schwarzmarktangebote, die es einer großen Zahl von Internet-Kriminellen erlauben würden, selbst ein mobiles Botnetz zu führen.

Android-Smartphones und -Tabletts sollten die von mobilen Botnetzen ausgehenden Risiken sehr ernst genommen und geeignete Schutzmassnahmen getroffen werden.