Cyberkriminelle, die ihren Fokus vor allem auf mobile Malware legen, müssen sich schnell und flexibel anpassen. Um eine höhere Reichweite zu erzielen, ist es für sie notwendig Trends – wie den der Cyberwährungen – zu folgen.
Cyberkriminelle nutzen den derzeitigen Hype um Kryptowährungen auf unterschiedliche Weise. Einige Mobile Miners versuchen die digitalen Währungen heimlich zu stehlen. Andere versuchen wiederum den Nutzer dazu zu verleiten, bewusst, gegen einen Anteil an gestohlenen Coins, Malware zu installieren.
Die tatsächliche Absicht besteht aber darin, illegitime Werbeanzeigen zu veröffentlichen. Anspruchsvollere Malware versucht hingegen Zugangsdaten zu hacken, um so an das Kryptogeld zu kommen.
Trotz der Unterschiede gibt es auch einige Gemeinsamkeiten. Zunächst einmal gelingt es den Mobile Miners in die offiziellen Webstores von Google und Apple einzudringen und so Zugang zu einer breiten Öffentlichkeit zu erlangen.
Darüber hinaus nutzen sie Technologien, die von anderen mobilen Malware-Familien eingeführt wurden, wie beispielsweise der Banking-Malware und Adware, um darauf aufbauend die eigenen Ergebnisse zu verbessern. Es stellt sich nun die Frage, welche Formen diese Angriffe annehmen können und welche Schutzmöglichkeiten es gibt.
1. Verdecktes Mining:
Ein Typus dieser Mobile Miners infiziert das Gerät des Opfers, indem es sich als unabhängige und legitime App tarnt und dann die Rechnerleistung des Gerätes nutzt, um Kryptowährungen zu schürfen. Die Malware versucht so eine große Anzahl an Geräten zu infizieren, um dann wiederum ein Botnet zu bilden. Die bösartigen Aktivitäten sind kaum wahrnehmbar, oft schlüpfen sie ganz einfach durch die Maschen der Sicherheitsnetze der App-Stores.
Diese heimlichen Manöver führten über die Jahre zu einem Anstieg dieser verdeckten Cryptominer. Tatsächlich wurden erst kürzlich viele dieser bösartigen Apps in Google Play eingeschleust, der Höhepunkt ist aber noch lange nicht erreicht. Check-Point-Forscher haben ebenfalls ein Exemplar einer Mining-Malware auf Google Play entdeckt, das vor der Löschung aus dem Store bereits über 10.000 Mal heruntergeladen wurde.
Ein anderer Malware-Stamm verbreitete sich per SMS-Nachrichten, die mit dem Versprechen kostenlose Bitcoins zu erhalten an die Nutzer versandt wurden. Tatsächlich missbrauchten die Cyberkriminellen die Geräte aber für Cryptomining. Mining-Aktivitäten waren auch Teil der umfassendsten jemals gefundenen Malware, die in einem Botnet bereitgestellt wurden.
2. Scam Miners – Mining-Werbung
Angesichts der rasanten Wertsteigerung von Kryptowährungen ist es verständlich, dass viele in das Geschäft mit einsteigen möchten. Jedoch nicht alle haben die technischen Fähigkeiten, die zum Schürfen dieser Währungen erforderlich sind.
Cyberkriminelle nutzen diese Kombination aus Wunsch und Wissensmangel zu ihrem eigenen Vorteil und versprechen Nutzern einen Anteil an den geschürften Coins als Gegenleistung für das freiwillige Installieren der „Mining“-Software. Alles, was der Nutzer jedoch als Gegenleistung für seinen guten Willen bekommt, ist die Anzeige unerwünschter und illegitimer Werbung. Profitiert hat hier dann nur der der Malware-Entwickler.
Check Points Forscher entdeckten kürzlich ein Exemplar dieses Malware-Typs auf Google Play – versteckt in einer App, die bereits über 100.000 Mal heruntergeladen wurde. Es wurde behauptet, dass die App Bitcoins schürft und zusätzlich jedem neuen Nutzer 50.000 Satoshis (die kleinste Bitcoin-Einheit, die zum Zeitpunkt der Veröffentlichung rund 10 USD wert war) zu zahlen.
Der Nutzer dürfe seinen Anteil allerdings erst abheben, wenn eine bestimmte, sehr hohe Summe an Bitcoins zusammengekommen ist. Somit wird der versprochene Anteil nie ausgezahlt, da diese Bitcoin-Summe niemals erreicht wird. Zusätzlich werden die App-Nutzer aufgefordert gute Bewertungen – im Idealfall mit fünf Sternen – abzugeben. So sollen noch weitere potenzielle Opfer dazu verleitet werden, die App herunter zu laden.
3. Crypto-Banker – Ein neuer Typ von Mobile Bankers
Am schädlichsten sind vermutlich die Mobile Miners, die versuchen Zugangsdaten zur Kryptogeldbörse zu stehlen, in dem sie Kryptowährungsseiten imitieren. Ein erstes Beispiel hierfür wurde im Oktober im Google Play-Store entdeckt.Dabei hatte sich die Malware als die mobile App der Kryptobörse Poloniex getarnt.
Nach dem Download wurden die Nutzer aufgefordert ihre persönlichen Zugangsdaten einzugeben, um auf ihr Konto zugreifen zu können. Tatsächlich leiteten die Cyberkriminellen ihre Opfer jedoch zu einer kompromittierten Seite, ‚połoniex.com’,um (beachten Sie das gefälschte „I“) anstatt zu „poloniex.com“.
Die beiden Apps, die die Malware enthalten, wurden zwar aus dem Google Play-Store entfernt, doch bereits einen Monat später fanden Check Point-Forscher eine neue Version – wieder als Poloniex-App getarnt. Diesmal hatten es die Angreifer geschafft, sich mit einem @poloniex.com-Account zu registrieren. Die Malware wurde vom Play Store entfernt, nachdem Check Point Google den Vorfall gemeldet hatte.
Zu diesem Zeitpunkt ist die App allerdings bereits über 10.000 Mal heruntergeladen worden. Der mobilen Malwareist es sogar gelungen, Apples Gartenmauerzu durchbrechen und in den App Store einzudringen. Ein ähnlicher Malware-Typ hat versucht, die Nutzer dazu zu bringen, der App Zugriff auf ihre Kontodaten und Authentifikationen zu gewähren. Die Malware wurde, nachdem besorgte Nutzer die verdächtige Aktivität gemeldet hatten, entfernt. Dennoch wird klar, dass kein App-Store vor mobiler Malware sicher ist.