Malware-Aussichten 2018

Malware-Aussichten 2018Sophos, ein führender Anbieter von Endpoint- und Network-Security-Lösungen, hat in einem Whitepaper die diesjährige Schadsoftware und die voraussichtlichen Gefahren für 2018 analysiert. Im Ergebnis zeigt sich, dass Ransomware dominanter denn je ist und insbesondere Android-User 2018 betroffen sein dürften.

2017 ist fast schon wieder Geschichte und damit beginnt die Saison der Jahresrückblicke. SophosLabs hat die Schadware in 2017 analysiert und Prognosen erstellt. Ein dominantes Security-Thema in 2017 ist Malware für Mobilgeräte, vornehmlich für Android. SophosLabs analysierte, dass es bis Ende 2017 geschätzte 10 Millionen verdächtige Android-Apps geben wird, darunter auch Ransomware, wie sie beispielsweise über Fake-Versionen des populären Spiels „King of Glory“ verteilt wurde. 2016 lag Gesamtanzahl an schädlichem Code für Android noch bei 8,5 Millionen. Der größte Anteil von 77 Prozent fällt dabei auf Malware, 23 Prozent auf PUAs (potenziell unerwünschte Anwendungen).

Auffällig ist der deutliche, teilweise sprunghafte Anstieg der Anzahl schadhafter Apps in den letzten vier Jahren: waren es 2013 noch etwas mehr als eine halbe Millionen, folgte 2015 ein Anstieg auf knapp 2,5 Millionen – derzeit liegt der Wert bei 3,5 Millionen. Beim Blick auf die schadhaftesten Malware-Familien für Android seit Anfang des Jahres, steht Rootnik auf Platz 1 mit einem Anteil von 42%, wobei zahlreiche Apps auf Google Play mit Rootnik in Verbindung gebracht werden konnten. Aber auch die DirtyCow Linux Schwachstelle im September 2017 kann darauf zurückzuführen werden. Auf Platz 2 liegt dann PornClk mit 14%, danach folgen Axent (9%), Slocker (8%) und Dloadr (6%). Die Analyse der Malware-Varianten zeigt: Andr/Rootnik ist die produktivste Familie, verantwortlich für mehr als die Hälfte (53%) aller Android Schadsoftware.

PUAs bleiben ein dauerhaftes Problem, auch wenn deren Anzahl von knapp 1,5 Millionen in 2016 in diesem Jahr auf weit unter 1 Million deutlich gesunken sind. Per se schadhaft, sind diese aber lästig und unerwünscht, besonders wenn sie als Adware ständig aufpoppen. Von den PUAs, die SophosLabs dieses Jahr untersuchte, dominieren Android Skymobi Pay-Aktivitäten mit 38%. Android Dowgin liegt bei der Hälfte (16%), Android Riskware SmsReg sogar nur bei 12%.

Betrugsmasche: Anruf eines angeblicher Microsoft-Mitarbeiters

Betrugsmasche: Anruf eines angeblicher Microsoft-MitarbeitersDiese Betrugsmasche ist zwar nicht neu, scheint aber in den letzten Wochen wieder deutlich zugenommen zu haben: ein angeblicher Mitarbeiter vom Microsoft-Supportteam meldet sich per Telefon und informiert, meist in Englisch, dass eine Maleware-Infektion, ein Systemproblem oder der Ablauf einer Laufzeitgarantie auf dem Computer des Angerufenen festgestellt wurde. Und natürlich wird auch gleich Hilfe bei der Beseitigung des Problems angeboten.

Um es gleich vorweg zu nehmen: der Angerufene ist natürlich nicht von Microsoft, sondern ein Internetbetrüger!

Mich erreichte so ein Anruf letzte Woche, als ich gerade dabei war, den Laptop meines Schwiegervaters neu aufzusetzen. Da ich auf dem Laptop die persönliche Daten noch nicht wieder neu aufgespielt hatte (der Rechner also komplett „datenfrei“ war), „spielte“ ich den Ahnungslosen und ließ den angeblichen Support-Mitarbeiter gewähren. Zunächst musste ich eine Remote-Software (Ammyy resp. Teamviewer) aufspielen, die genutzt wurde, um mir Fehlermeldungen zu präsentieren. Ferner teilte er mir mit, dass die Lizenz seines Betriebssystems abgelaufen sei und er nutzte die Remote-Software, um ein Systempasswort in Windows zu hinterlegen. Ein „normaler“ Nutzer hätte ab diesem Zeitpunkt seinen Rechner nicht mehr nutzen können, ohne auf externe Hilfe zurückzugreifen. Damit mein System wieder freigeschaltet wird, sollte ich einen kleinen Beitrag (8 – 15 Euro je nach Lizenz-Laufzeit) an Microsoft überweisen und hierfür fing der freundliche Mitarbeiter von Microsoft auch gleich an, bei Western Union ein Online-Konto für mich anzulegen – natürlich mit einem von ihm gewählten Passwort -, wo ich dann nur noch meine Kredikarten- oder Bankdaten hinterlegen müsste – was er Dank der Remote-Software hätte mitschreiben können – und schon wäre das leidige Thema erledigt. Zu diesem Zeitpunkt kappte ich dann die Internet-Verbindung zum Laptop, bdankte mich „freundlich“ und legte auf.

Der Anruf diente natürlich nur einem Zweck: dem Abgreifen von Konto- und Kreditkarten, um damit Geldtransfers auszulösen. Microsoft ist diese Vorgehensweise seit Herbst 2011 bekannt und gibt hierzu folgende Hinweise:

  • Microsoft schickt unaufgefordert weder E-Mails noch fordert das Unternehmen per Telefonanruf persönliche oder finanzielle Daten an.
  • Microsoft unternimmt keine unaufgeforderten Telefonanrufe, in denen das Unternehmen anbietet, einen Rechner zu reparieren.
  • Bei manchen Anrufen gibt sich der Anrufer als Mitarbeiter einer Microsoft-Lotterie aus. Eine derartige Lotterie gibt es nicht.
  • Microsoft fragt nicht aktiv nach Kreditkarteninformationen, um die Echtheit von Office oder Windows zu verifizieren.
  • Microsoft kontaktiert Nutzer nicht ungefragt, um über neue Sicherheitsupdates zu informieren.

Wie die Betrüger auf mich gekommen sind, habe ich leider nicht rausfinden können. Ich befürchte, dass die Windows-Recovery-Daten auf dem Computer infiziert waren und daher bei der Re-Installation eine entsprechende Malware zum Einsatz kam, die weder vom SpyBot noch vom Antiviren-Programm erkannt wurde. Den Laptop meines Schwiegervaters habe ich danach dann natürlich komplett gelöscht, die Festplatte formattiert und Windows neu von CD installiert.

Fazit:
Wenn jemand von Microsoft anruft und seinen Support unaufgefordert anbietet: Auflegen!