SMS-Malware für Android: Auftritt der Abzock-Profis

Auch bei mobiler Schadsoftware gibt es professionelle Banden, die Arbeitsteilung betreiben und durch die Schädlinge stolze Summen umsetzen. 30 Prozent aller Android-Malware sollen auf das Konto von nur zehn russischen Banden gehen.

In Pocket speichern vorlesen Druckansicht 124 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Uli Ries

Banden von Malware-Verbreitern sind im Windows-Umfeld seit Jahren bekannt. Jetzt wurde erstmals bekannt, dass es auch bei mobiler Schadsoftware professionell agierende Banden gibt, die komplexe Arbeitsteilung betreiben und durch die Schädlinge stolze Summen umsetzen. 30 Prozent aller Android-Malware geht auf das Konto von nur zehn russischen Banden.

Die gute Nachricht vorweg: Die von den beiden Mobil-Malware-Experten Ryan W. Smith Tim Strazzere untersuchten Kampagnen betreffen derzeit ausschließlich russische Android-Anwender. Die Mitarbeiter des auf Smartphone-Antivirensoftware spezialisierten Unternehmens Lookout haben in Untergrundforen Hinweise auf ein ausgeklügeltes Affiliate-System zur Verbreitung der SMS-Spam-Schädlinge ausgemacht und ihre Ergebnisse während der Hackerkonferenz Defcon präsentiert. Diese Art von Malware verschickt nach ihrer Installation ohne Zutun des Anwenders Premium-SMS an zuvor im Schädlingscode hinterlegte Nummern. Diese Nummern werden von den Malware-Machern betrieben, so dass das Geld direkt bei ihnen landet.

Bei dem aus der Windows-Welt hinlänglich bekannten Affiliate-System kümmern sich verschiedene Personen oder Gruppen um jeweils verschiedene Aufgaben. Letztendlich wird aus dem Zusammenspiel ein geschlossener Kreislauf: Hintermänner entwickeln die Tools, um die Malware vor der Entdeckung durch Antivirensoftware zu schützen und denken sich Betrugskampagnen aus, um Opfern die bösartigen Apps unter zu schieben.

Baukasten: Mit wenigen Mausklicks können auch Laien den für eine Malware-Kampagne notwendigen JavaScript-Code erzeugen.

(Bild: Lookout)

Auf den professionell gestalteten Webseiten der Hintermänner, die jedem Web-Startup alle Ehre machen würden, können sich interessierte Geschäftspartner registrieren. Aufgabe dieser Partner, der sogenannten Affiliates, ist das Verbreiten der Schädlinge. Hierbei greifen ihnen die Hintermänner samt ihrer Webseiten unter die Arme: In einer Art Baukasten entsteht Klick für Klick der JavaScript-Code, den die Affiliates in die von ihnen betriebenen Webseiten pflanzen.

Der Code ist die Grundlage für Werbung auf diesen Webseiten für vermeintliche Gratis-MP3-Downloads, wichtige Updates für Adobe Flash oder kostenlose Porno-Downloads. Um noch mehr Opfer auf ihre Seiten zu locken, bedienen sich die Betrüger en gros eingekaufter Twitter-Accounts, die per Spam-Nachricht auf die Webseiten verweisen.

Klickt das Opfer auf die Werbung, wird de facto natürlich nichts von all dem Versprochenen installiert, sondern eine auf den ersten Blick nutzlose Android-App die aber im Hintergrund teure SMS verschickt. Die jeweils heruntergeladene Anwendung wird vor dem Download dynamisch erzeugt und in ihrer Optik an die gewählte Betrugsmasche angepasst. Diese serverseitige Polymorphie kann ein Grund für die explodierenden Zahlen mancher Statistik sein. Denn aufgrund der unterschiedlichen Zeitpunkte der Kompilierung hat jeder Schädling einen anderen Zeitstempel, was wiederum für unterschiedliche Hashwerte sorgt. Faktisch steckt aber immer der exakt gleiche Schadcode in der App.

Pro erfolgreicher Installation kassieren die Affiliates den Lookout-Forschern zufolge eine Provision zwischen 3 und 18 US-Dollar. Ein von Ryan W. Smith und Tim Strazzere ausgemachter Spitzenverdienern unter den Affiliates brachte es im Monat auf bis zu 20.000 US-Dollar.

Neben den hohen Summen sind die hohe Professionalität und die bislang im Zusammenhang mit Mobile-Malware so nicht beobachtete Arbeitsteilung bemerkenswert. Den Lookout-Forschern zufolge gehören Programmierer, Vertriebler, sowie Mitarbeiter in Marketing und Kundenservice zu den Abzock-Organisationen. Im Schnitt alle zwei Wochen gibt es eine Version des Schädlings, die dann per Newsletter im Kundenkreis bekannt gemacht wird.

Die schlechte Nachricht zum Schluss: In der Vergangenheit hat sich mehr als einmal gezeigt, dass zu Beginn ausschließlich auf potentielle Opfer in Osteuropa zielende Angriffe wie beispielsweise vermeintliche Antiviren-Software (Fake AV) nach kurzer Zeit auch Anwender in anderen Ländern ins Visier nahmen.

Siehe dazu auch:

(axk)