Java macht das Virenschreiben wieder lohnenswert für Handys

Internet-Kriminelle haben einen Weg gefunden, um plattformübergreifende Malware für Smartphones zu schreiben. Dies ist ein Grund, warum schädliche Software wieder deutlich zunimmt. Bisher war es nicht sehr attraktiv.

Mobile-Malware gibt es schon länger. Aber im Vergleich zu Schadsoftware für Windows dümpelten die Zahlen hier eher vor sich hin. Ein Grund lag darin, dass sich die Cybergangster es bei den Smartphones mit einer Vielzahl verschiedener Betriebssysteme gegenüber sahen. Das hat es zu aufwändig gemacht, größere Zahlen von Infektionen zu erreichen. Nun haben Forscher von Kaspersky Lab beobachtet, dass die Kriminellen anderen Weg gefunden haben, Schad-Code für verschiedene Plattformen zu schreiben. Sie setzen dazu auf die Java-2-Micro-Edition (J2ME). Diese ist auf vielen Smartphones und auch normalen Handys installiert. Daher hat die Malware-Anzahl für mobile Geräte deutlich zugenommen. Die Forscher sind auch besorgt, dass es nun auch für mobile Geräte polymorphe Viren gibt. Diese ändern ihre Gestalt, was eine Entlarvung deutlich schwieriger macht.

Mitte August dieses Jahres gab es 106 Malware-Familien mit 514 Modifikationen. Vor drei Jahren waren es noch 31 Schädlings-Familien mit 170 Abwandlungen. Zudem können die Schädlinge auch mehr. Sie verteilen sich jetzt auch über Daten-Sticks, beschädigen Nutzer-Daten, hebeln Sicherheitsmechanismen aus oder rufen teure Telefon-Nummern an.

Eine interessante Malware ist hier »Worm.WinCE.infoJack«. Er kopiert sich einmal auf E-Laufwerk. Bei Smartphones mit Windows-Mobile verbirgt sich dahinter die Memory-Karte des Gerätes. Der Wurm hat auch ein paar normale Applikationen und Spiele, um seine gefährlichen Aktivitäten zu tarnen. Außerdem deaktiviert er den Schalter in Windows-Mobile, dass nur signierte Applikationen installiert werden dürfen. Zudem lädt der Wurm weitere Schad-Software herunter, wenn das Gerät mit dem Internet verbunden ist.

Unter der Mobile-Malware finden sich relativ viele SMS-Trojaner. Sie fokussieren sich auf J2ME. Die Malware hat dabei verschiedene Jar-Archive. Eines davon versendet SMS an eine teuere Nummer. Die anderen dienen nur dazu, das SMS-Jar zu tarnen. Typischerweise warnt Java den Anwender, dass eine Applikation eine SMS verschicken will. Daher haben sich verschiedene Programme Tricks ausgedacht, um den Anwender zu täuschen. So fragt der »Trojan-SMS.J2ME.Swapi.d«, ob der Nutzer ein pornografisches Bild herunterladen möchte. Klickt er auf »Ja«, wird die SMS verschickt.

Um SMS an teuere Nummern zu verschicken, brauchen die Kriminellen einen Prefix oder ein Schlüsselwort, das mit einem Shortcut verbunden ist. Um sich einen Account zu teilen, erhalten Cyber-Gangster im Rahmen eines Partnerschaftsprogramms einen kurzen Prefix und eine Partner-ID. So lässt sich dann das eingehende Geld auch zuordnen.