Apr 15

FlexiSpy – Überwachungsprogramm, das wie ein Virus arbeitet

Posted on 15. April 2010 by Georg Grohs

FlexiSpy ist eine kommerziell erhältliche Software. Für rund 150 Dollar kann man sie direkt beim Hersteller beziehen. Auf einem Handy installiert, ist FlexiSpy zu einer fast vollkommenen Überwachung fähig. Es ist beispielsweise möglich, alle SMS oder die Daten von Telefonverbindungen mitzulesen. Auch kann FlexiSpy benutzt werden, um ein Smartphone als Wanze zu benutzen. Sowohl der Ort von Gesprächen ist ermittelbar – GPS machts möglich – als auch sogenannte Spycalls, bei denen das Telefon von außen aktiviert wird und munter alle Töne und Gespräche an Dritte überträgt, gehören zum Funktionsumfang.

Beispielsweise F-Secure stuft entsprechend FlexiSpy als Trojaner ein. Meines Erachtens nicht zu Unrecht, weil auch weitere Funktionen eines Handys aktiviert werden können, ohne, dass ein Opfer dies merkt. Vor allem im geschäftlichen Umfeld ist daher Vorsicht angebracht, wenn man mit einem infizierten Handy etwa in wichtige Besprechungen geht. Das infizierte Telefon kann wirklich alle relevanten Daten übermitteln, ohne, dass der Benutzer dies merkt.

FlexiSpy ist für verschiedene Betriebssysteme erhältlich. Versionen für Symbian, Windows Mobile, Blackberry und iPhone sind verfügbar. Also ist das Programm auch für alle relevanten Business-Handys gefährlich.

Die Anwendung in Deutschland – etwa zum Abhöhren oder Mitlesen von SMS und Emails, ist verboten, wenn der Besitzer/Benutzer des Handys nicht ausdrücklich zugestimmt hat. Das dürfte angesichts des Funktionsumfangs der Software dann doch eher unwahrscheinlich sein.

F-Secure und andere Antivirensoftware kann FlexiSpy erkennen und eliminieren.

Apr 14

Smarn Java Virus

Posted on 14. April 2010 by Georg Grohs

Betroffene Systeme: Symbian, Windows Mobile, teilweise Android, teilweise iPhone – alle Java-fähigen Handys
Übertragungsweg: Installationsdatei (JAR/JAD)
Schadwirkung: niedrig

Ursprünglich scheint Smarn zur Auffindung verlorengegangener Handys geeignet. Heute wird Smarn gerne von betrügerischen Dienstleistern genutzt, welche bspw. Telefonsex oder andere “Mehrwert”dienste anbieten. Der Virus kann frei für gewünschte Rufnummern konfiguriert werden, an die er bei Aktivierung eine SMS sendet. Nach der Installation der Java-Datei erscheint eine neue Applikation auf dem Handy. Wird diese ausgeführt, erfolgt der Versand der SMS. Damit sind bei jeder Aktivierung ansehnliche Beträge für die Telefonrechnung fällig – auch können hier kostenpflichtige, langfristige Abofallen lauern. Ein Hinweis auf den Virus ist dann auch die Rechnung des Providers mit nicht erklärbaren Beträgen. Zu beachten ist, dass der Virus in fast jede Sprache übersetzt werden und mit beliebigen Namen versehen werden kann.

Aktuelle Antivirensoftware erkennt den Virus und kann ihn stoppen. Hier wären F-Secure, Symantec, Avira oder UMU zu nennen.

Apr 07

GameSat A Java Virus

Posted on 7. April 2010 by Georg Grohs

Betroffene Systeme: Windows Mobile, Symbian, alle Java-tauglichen Geräte
Übertragungsweg: Installationsdatei (JAR)
Schadwirkung: niedrig

Der Virus GameSAT A kommt in einer installationsfähigen JAR Datei aufs Handy. Dabei trägt die Datei vermeintlich interessant klingende Namen wie bspw. GratisGame oder gibt sich als Chat-System aus. Wenn der Benutzer die Anwendung ausführen möchte, installiert sich der Virus als normale Java J2ME, also Java 2 Applikation. Der Virus wird aktiv und sendet SMS an kostenpflichtige Mehrwertdienste. Wie auch Wesber hat die Schadroutine unter Windows Mobile eine Fehlfunktion, die eine Ausführung der SMS-Funktionalität verhindert. Nach der eigentlichen Installation wird im Programmmenü des Handys eine Reihe von anklickbaren Services dargestellt und beim Start eine Anwahl von SMS an die Nummer 151 versucht. Dazu gibt es noch einen Text, der eine SMS-Kommunikation mit den angezeigten Services vorgaukelt. Die Nummer gehört zu asiatischen/indischen Services.

In Deutschland richtet der Virus recht wenig Schaden an und ist zudem recht leicht zu entfernen. Man selbst kann die gesamte Applikation löschen oder den Virus mit gängigen Antivirenprogrammen von Avira, Symantec, F-Secure oder anderen Herstellern eliminieren.

Apr 06

Wesber – Virus – Java

Posted on 6. April 2010 by Georg Grohs

Betroffene Systeme: Windows Mobile, Symbian, alle Java-tauglichen Geräte
Übertragungsweg: Installationsdatei (JAR)
Schadwirkung: niedrig

Der Wesber A -Virus ist relativ alt und zeigte als einer der ersten die Möglichkeit für Malware via Java. Die JAR-Datei wird auf Befehl den Benutzers entpackt und Wesber nistet sich als Applikation auf dem Handy ein. Dabei kommt es unter Windows Mobile zu einer Fehlfunktion, welche die Schadroutine unwirksam macht. Bei Symbian-Handys schickt Wesber SMS an die Nummer 1717 des Netzbetreibers. In seinem Ursprungsland Russland ist dies ein kostenpflichtiger Dienst, in anderen Ländern läuft Wesber dagegen ins Leere. Der Virus kann als Typ A nur auf Systemen laufen, welche die Java 2 Micro Edition installiert haben.

Die Entfernung des Virus ist denkbar einfach: Es reicht, bei Weber A einfach die Anwendung zu löschen. Aber auch gängige Antivirus-Software etwa von Symantec, F-Secure oder Avira entfernt den Schadcode.

Mrz 28

Trojan SMS – RedBrowser / Konov Virus

Posted on 28. März 2010 by Georg Grohs

Betroffene Systeme: Symbian, Windows Mobile – alle Java-fähigen Handys
Übertragungsweg: infizierte JAR Datei (Java-Applikation), Bluetooth, WAP, WEB
Schadwirkung: potentiell hoch

Der RedBrowser Virus kommt in einer Java-Installationsdatei vom Typ JAR. Er kann verschiedene Namen tragen, funktioniert jedoch immer nach dem gleichen Muster: Sobald das Programm aufgerufen wird, schickt der Virus SMS an alle möglichen Dienste. Die Schadwirkung ist potentiell hoch, da der Virus zwar selbst nicht sehr viel auf dem Mobiltelefon anstellt, jedoch durchaus auch SMS an die sogenannten Mehrwertdienste schicken kann.

Damit, etwa bei SMS an Dating-Seiten oder Erotik-Anbieter, kann eine einzelne SMS schon einmal ein paar Euro kosten. In Summe ist man recht schnell bei großen Beträgen, die schwierig zurückzufordern sein dürften.

Trotzdem ist die Abwehr dieses als Trojaner arbeitenden Virus relativ leicht. Nur bekannte und als sicher eingestufte Software sollte auf dem Handy installiert werden. Zudem erledigt ein gängiges Antivirenprogramm von Kaspersky, Symantec, Avira oder anderen renommierten Anbietern den Schädling ohne viel Federlesens.

Mrz 26

CXOver Virus

Posted on 26. März 2010 by Georg Grohs

Betroffene Systeme: Windows, Windows CE, Windows Mobile
Übertragungsweg: Synchronisation von Handy und PC
Schadwirkung: hoch

Der CXOver Virus greift mobile Geräte vom PC aus an. Die Synchronisierungsfunktionen von Windows zum Handy oder umgekehrt dient hierbei als Angriffsweg. Auf dem Handy löscht CXOver alle Dateien im persönlichen Ordner und setzt sich zudem im Rootverzeichnis mit einer Kopie fest. Dazu stellt er sicher, dass er beim nächsten Neustart mit gebootet wird.

Auf einem Windows PC erstellt er Kopien von sich und sorgt für ein Laden beim Neustart des Rechners. Er öffnet die RAPI (Remote Application Program Interface) Schnittstelle und wartet, bis ein mobiles Windows Gerät an den Rechner angeschlossen wird. Danach kopiert er sich auf das Handy und startet die Infektion.

Für die Beseitigung von CXOver benötigt man neben Antivirensoftware auf dem Handy zeitgleich auch ein Antivirusprogramm auf dem PC. Damit ist dieser Virus extrem lästig in heterogenen Umgebungen aus PC und mobilen Geräten. Der einzige Vorteil ist seine Schwäche in der Verbreitung. CXOver ist auf Funktionalitäten von Microsoft .NET angewiesen, um sich erfolgreich zu replizieren. Wer diese Funktionen nicht hat oder sehr restriktiv einstellt, ist sicher unterwegs.

Dringend sind Updates auf die neuesten Aktualisierungen von sowohl dem Betriebssystem des Handys, wie auch des Rechners empfohlen. Normale Antivirensoftware beseitigt die Bedrohung.

Feb 20

Brador – Virus

Posted on 20. Februar 2010 by Georg Grohs

Betroffene Systeme: Windows CE
Übertragungsweg: Datei
Schadwirkung: gering (ausgestorben)

Obwohl es kaum noch Mobiltelefone und Geräte mit Windows CE als Betriebssystem gibt – der Nachfolger Windows Mobile ist seit langer Zeit im Einsatz – möchte ich Brador einmal herausgreifen, um an dessen Beispiel die Schadwirkungen eines richtigen Backdoor-Virus zu erläutern.

Brador verbreitete sich über Dateien und infizierte so das Handy. Als erster Handy-Virus brachte er ausgefeilte Funktionen mit, die einem Angreifer den Zugriff auf das Handy sowie Manipulationsmöglichkeiten erlaubte. Brador konnte Verzeichnisse und Dateien infizierter Geräte auslesen und diese dann über eine normale Verbindung an die wahrscheinlich in Russland beheimateten Urheber des Virus übermitteln.

Die so ergaunerten Informationen konnten die Urheber nutzen, um Brador über den Port 2989 Befehle zu erteilen, die weitere Aktivitäten auf dem Handy auslösten. Der Virus konnte nach Wunsch der Urheber weitere Dateien auflisten, an den Urheber übermitteln oder auch zusätzliche Dateien von den Autoren des Virus empfangen und auf dem Handy ablegen. Hierdurch war permanent ein Mithören etwa des SMS-Verkehrs oder eine Kopie der vorhandenen Adressarchive möglich. De facto konnten die Autoren des Virus still und heimlich die vollständige Kontrolle über das Gerät übernehmen, ohne dass der Benutzer dies merkte.

Heute ist der Virus de facto ausgestorben und kann in seinen Windows CE basierten Programmierungen auch keine Kontrolle mehr über aktuelle Handys unter Windows Mobile übernehmen. Trotzdem war dies ein erster, heftiger Warnschuss in Sachen Sicherheit für Mobiltelefone.

Feb 09

Cabir Virus Symbian

Posted on 9. Februar 2010 by Georg Grohs

Betroffene Systeme: Symbian
Übertragungsweg: Installationsdatei (SIS), Bluetooth
Schadwirkung: gering

Der erste Virus für Handys war Cabir. Heute hat er so gut wie keine Verbreitung mehr, da die meisten aktuellen Handys über entsprechend gesicherte Betriebssysteme verfügen. Der Übertragungsweg ist recht einfach. Es gibt sogenannte SIS-Dateien, welche installierbare Programme beinhalten. Ruft man die SIS-Datei mit einem geeigneten Betriebssystem auf, baut sich das Programm in das Handy ein.

Cabir repliziert sich selbst und sucht nach möglichen Verbindungen über Bluetooth. Ist ein empfangsbereites Gerät in der Nähe, bekommt dessen Benutzer von wiederum seinem Handy die Frage, ob er die Übertragung annehmen möchte. Klickt er auf “Ja”, kopiert sich der Virus auf sein Handy. Die Gegenmaßnahme ist ebenso einfach wie wirkungsvoll: kommt von einem unbekannten Gerät ein Angebot zur Datenübertragung, sollte dies abgelehnt werden – selbst, wenn eine Übertragung mehrfach angeboten wird. “Nein” reicht in diesem Fall als Infektionsschutz. Auch unverlangt zugesandte MMS sollten einfach nicht ausgeführt werden.

Eine klassische Schadwirkung ist nicht gegeben. Cabir macht als Software eigentlich nichts anderes, als sich selbst zu replizieren und dauernd über Bluetooth nach weiteren Geräten zu suchen. Entsprechend geht aber die Akkulaufzeit eines Handys in die Knie und alle anderen Geräte in Reichweite werden durch andauernde Übertragungsangebote “genervt”. Neuere Versionen von Cabir haben weitere Eigenschaften – beispielsweise den Transport ergänzender Schadfunktionen und sogar Trojanern -, können jedoch mit aktueller Antivirus-Software ebenfalls recht leicht entfernt werden.

Gängige Antivirensoftware, bsp. von F-Secure, Symantec oder Avira, stoppen Cabir zuverlässig.

Handy Antivirus

Viren, Antivirus und Handy

Category Archives: Windows Mobile