Die Smartphone-Zombies kommen

Eine Sicherheitsforscherin hat ein Botnetz für die Hosentasche entwickelt. Und sie glaubt: Es ist nur noch eine Frage der Zeit, bis sich Online-Ganoven solche und ähnliche Techniken zunutze machen.

Smartphones sind nicht weniger als kleine, tragbare Computer mit ständiger Netzverbindung. Da wundert es wenig, dass sich mittlerweile auch Internet-Kriminelle für die Technik interessieren – erste mobile Viren sind schon vor mehreren Jahren aufgetaucht.

Die Sicherheitsexpertin Georgia Weidman wil nun zeigen, wie sich aus Geräten mit dem Google-Betriebssystem Android ein Botnetz aufbauen lässt. Zur Steuerung dieser einzelnen "Zombie-Handys" dienen schlichte SMS. Weidman plant einen Vortrag zum Thema auf der Hacker-Konferenz Shmoocon, die Ende Januar in Washington stattfindet.

War die Ausnutzung von Sicherheitslücken auf Smartphones vor wenigen Jahren noch eher theoretischer Natur, taucht mittlerweile immer mehr mobile Malware auf. Im vergangenen Sommer versuchten russische Online-Kriminelle, böswillige Software auf die Geräte einzuschleusen, die dann teure Premium-SMS absetzten. Kurze Zeit später stahl ein trojanisches Pferd für Blackberry- und Symbian-Smartphones Bankdaten. Und in China kursierte Ende vergangenen Jahres ein Datenschädling, der Kontaktdaten von den Geräten abgriff.

Der Aufbau vollständiger Botnetze aus der Geräteklasse ist allerdings noch ganz neu. Bislang kennt man den Begriff vor allem aus der PC-Welt: Dort steuern Computer-Ganoven manchmal Hunderttausende von "Zombie-Rechnern", um Websites anzugreifen, Spam zu versenden oder andere kriminelle Machenschaften durchzuführen.

"Internet-Botnetze werden schon seit Jahren verfolgt, in Mobilfunknetzen sind sie noch etwas Neues. Ich sehe mehr und mehr Internet-Gauner, die in diese Richtung gehen", meint Weidman.

Das Angriffsszenario der Forscherin ist breit angelegt: Zunächst wird ein Smartphone mit einem Rootkit auf unterster Ebene geknackt. Anschließend wird das infizierte Gerät eingesetzt, um Spam-SMS zu versenden, an Denial-of-Service-Angriffen teilzunehmen oder die Netzinfrastruktur zu stören. Der Nutzer bekommt davon nichts mit. Grundsätzlich sei jedes Smartphone mit entsprechenden Sicherheitslücken dafür ausnutzbar, sagt Weidman. Sie habe sich für ihre Demonstration aber drei verschiedene Android-Geräte ausgesucht.

Der Angriff an sich wird jedoch durch die Tatsache erschwert, dass es kontrollierte Kanäle wie Apples App Store oder Googles Android Marketplace gibt, über die "böser" Code notfalls zurückgezogen werden kann. "Die größte Hürde für jede Malware ist, das Telefon zu infizieren", sagt Weidman. Alte Strategien griffen hier nicht unbedingt. Aus diesem Grund glaube sie, dass infizierte Anwendungen das größte Einfallstor sein werden. Dann sei der Aufbau von Botnetzen aber nur noch eine Frage der Zeit.

Kevin Mahaffey, Technikchef beim Mobile-Security-Spezialisten Lookout, glaubt ebenfalls, dass sich das Problem verschärfen wird. Der Grund: Die Kontrolle über Smartphones sei einfach zu lukrativ. Der Versand von Premium-SMS sei nur eine Möglichkeit, schnelles Geld mit den Geräten zu verdienen. "Ich schaue mir normalerweise zunächst den wirtschaftlichen Aspekt eines solchen Problems an, um herauszufinden, wie es sich in Zukunft entwickeln wird." Dabei sei er zu folgendem Schluss gekommen: Die Kosten, Smartphones anzugreifen, seien relativ gering, die möglichen Profite dagegen groß.

In Weidmans Ansatz wird ein solches Botnetz außerdem nicht via Internet kontrolliert, sondern über das Mobilfunknetz: Sie verschickt SMS zur Steuerung. So lassen sich Angriffe besser verstecken. "Wenn mein Botnetz ein Smartphone infiziert, wird jede nachfolgende SMS auf Kontrollmitteilungen überprüft. Wenn darin welche stecken, werden sie ausgeführt – und die SMS dem Nutzer nicht einmal mehr präsentiert, damit er keinen Verdacht schöpft."

Zwar habe die aktuelle Gerätegeneration weniger Rechenleistung als traditionelle PCs, doch das, was verfügbar ist, reicht völlig aus, Online-Kriminelle zu befriedigen. Schon allein die mögliche Anzahl an zu übernehmenden Geräten sei für diese reizvoll, meint Weidmann: "Das macht ein Botnetz zu einer realen Gefahr." (bsc)