Nicht einmal zwei Jahre nach Veröffentlichung des ersten Android-Betriebssystems fanden wir bei G DATA im Oktober 2010 die erste Malware: Android.Trojan.FakePlayer.A. Seitdem ist eine Menge passiert. Nicht nur unzählige Angriffsversuche hat es gegeben. Auch beim Thema Sicherheit ist viel passiert. Eine Bilanz.
Die Entdeckung der ersten Malware für ein Android-Betriebssystem im Oktober 2010 schlug in den G DATA SecurityLabs wie eine Bombe ein. Nachdem sich die erste Aufregung gelegt hatte, standen viele Fragen im Raum. Denn die Malware schien bereits vom 5. August 2010 zu sein. Wie viele Personen waren wohl bereits betroffen? Welche fiesen Tricks hatten sich die Malware-Autoren ausgedacht, um uns Analysten das Leben schwer zu machen? Und was für ein Verhalten würde FakePlayer überhaupt zeigen? Unsere ersten Spekulationen waren jedenfalls mehr als wild.
Die Wirklichkeit war dann allerdings sehr ernüchternd, wenn auch - wenigstens teilweise - zum Schmunzeln. Der Programmcode war trivial, hatte mehrere Fehler und wirkte, als hätten die Entwickler sich an einem längeren Abend zum ersten Mal mit Android beschäftigt und ein paar Codeschnipsel von hier und da zusammenkopiert. Die Autoren der Malware waren sogar zu faul den damaligen Standard-Klassennamen für ein neues Android-Projekt, in der damals von Google gelieferten Programmierumgebung Eclipse, zu ändern: "org.me.androidapplication1". Es gab auch eine "HelloWorld" Klasse. Das ist für die meisten Entwickler die erste Fingerübung, wenn sie eine neue Programmiersprache lernen wollen.
Die Malware selber war dann tatsächlich schnell erklärt: Die App gibt sich mit einem geklauten Icon des Windows Media Players als ein Mediaplayer aus. Beim Starten der App wurde allerdings nur eine "Wird geladen" Meldung auf Russisch ausgegeben und als Schadfunktion wurden einmalig mehrere Premium-SMS im Gesamtwert von knapp 10 USD versendet.
In den nachfolgenden Monaten gab es von der Malware in regelmäßigen Abständen neue Varianten. Wir zählten insgesamt acht verschiedene, wobei sich jeweils das App-Icon, der App-Name oder die benutzten Premium-SMS Nummern änderten.
Wie es zu erwarten war, hat sich die Android-Malware seitdem stark weiterentwickelt: Aktuelle Exemplare haben mehr als den hundertfachen Code-Umfang, verstecken sich und ihre Aktionen, kommunizieren versteckt über anonymisierte Netzwerke und machen somit den Usern, aber auch uns Analysten das Leben schwer. Auch die Anzahl der neuen Android Malware-Dateien ist seit diesen ersten Vorfällen enorm angestiegen. Zählten wir im Jahr 2010 lediglich 55 neue Schadprogrammtypen, waren es alleine im ersten Halbjahr 2020 mehr als zwei Millionen Android-Apps mit Malware und damit durchschnittlich mehr als 11.000 schädliche Apps pro Tag.
Waren die ersten Android-Viren noch Spielereien mit denen Hacker und Nerds Ruhm erlangen wollten, geht es jetzt fast nur noch um den schnellen Profit. Dazu nutzen Cyberkriminelle die gesamte Palette von Angriffswerkzeugen: Adware, Dropper, Ransomware, Stalkerware und APTs.
Die Gefahren für Smartphones werden weiterhin zunehmen. Denn mobile Geräte sind aus dem Alltag nicht mehr wegzudenken und übernehmen viele Funktionen in unserem Leben. Ein aktueller Virenscanner wie G DATA Mobile Security Android gehört daher zur Grundausstattung für jedes Handy. Er bewahrt die Nutzer vor unliebsamen Überraschungen durch schädliche Apps und verhindert den Zugriff auf Phishing-Seiten im Internet.
Angreifer nutzen jede Sicherheitslücke auf Geräten oder setzen auf raffinierte Tricks, um Geräte mit schädlichem Code zu infizieren. Dabei profitieren sie aber auch von der Leichtgläubigkeit vieler Nutzer, die ihnen ein leichtes Spiel ermöglichen. Dazu gehört auch, dass zahlreiche Anwender immer noch Apps nicht aus dem offiziellen Play-Store von Google herunterladen, sondern lieber auf Angebote von Drittanbietern zurückgreifen. Diese haben aber dann deutlich niedrigere Sicherheitsniveaus.
Ein weiteres Problem: Die weiterhin hohe Fragmentierung der Android-Betriebssysteme. Android 10 war im August nur bei rund 29 Prozent aller Geräte installiert. Rund 1,5 Prozent der Smartphones und Tablets lief zu diesem Zeitpunkt noch mit Android 4.4 (Kitkat). Eine Version, die schon seit längerer Zeit keine Sicherheitsupdates mehr erhält und somit ein Sicherheitsrisiko darstellt. Daher ist es auch nicht verwunderlich, dass mittlerweile viele Apps eine höhere Version bei der Installation voraussetzen.
Ein dritter Faktor: Immer noch sind Billiggeräte mit vorinstallierter Schadsoftware im Handel erhältlich. Die Malware ist für den Besitzer unsichtbar und lässt sich nicht deaktivieren. So haben Online-Kriminelle vollen Zugriff auf das Smartphone und alle persönlichen Daten. Nicht immer stellen die Anbieter virenfreie Updates für die Firmware bereit. Die Schadsoftware manuell zu entfernen, ist für normale Anwender nicht möglich, weil sie tief in die Firmware integriert ist.
Bereits seit längerem investiert Google deutlich mehr in das Thema Sicherheit. Dazu hat das Unternehmen bereits im vergangenen Jahr Maßnahmen vorgestellt und umgesetzt. So realisiert der Internetriese mit jeder neuen Betriebssystem-Version Projekte, um möglichst umfassende Verbesserungen für Android-Geräte im Bereich der Sicherheit bereitzustellen.
Auch zehn Jahre nach FakePlayer sind schädliche Apps ein lukratives Geschäft für Cyberkriminelle und eine drohende Gefahr für alle Anwender. Um das Risiko eines infizierten Gerätes zu minimieren, sollten Nutzer aktuelle Betriebssysteme nutzen und Sicherheitspatches umgehend einspielen. Auch der Einsatz einer Security-Lösung wie G DATA Mobile Security Android wendet ebenso Schaden ab, wie die Installation von Apps von vertrauenswürdigen Seiten wie etwa Googles Play Store.
Stefan Karpenstein
Public Relations Manager
