Handy Antivirus

Es ist gut, wenn man einen Virenscanner auf dem Handy hat. Noch besser ist es, wenn dieser nichts kostet. So gibt es einige Hersteller, welche Downloads von Testversionen anbieten oder – noch besser – gleich ihr Antivirenprogramm als Freeware anbieten. Allerdings handelt es sich nicht in allen Fällen um die aktuellsten Versionen, welche auch vor ebenso aktuellen Gefahren einen Schutz anbieten.

So gibt es von Smartpctools.com einen kostenlosen Virenscanner fürs Handy, der aber bei einigen Downloadplattformen nur in der Version vom 24.05.2009 angeboten wird, also fast ein Jahr alt. Auf der Herstellerseite habe ich keine aktuellere Version gefunden. Inzwischen gibt es jedoch neue Bedrohungen, denen man begegnen sollte. Deutlich besser sieht es da bei F-Secure aus, deren Testversion immer ziemlich aktuell ist. Zurzeit gibt es die Version vom Februar 2010, das reicht erst einmal für einen brauchbaren Basisschutz. Auch von Avira`s Antivir Mobile gibt es leidlich aktuelle Versionen im Web, wenn man etwas herumsucht.

Der Schutz vor Viren alleine ist aber nicht der einzige Punkt, nach dem man die Software auswählen sollte. Beispielsweise F-Secure hat gegenüber einfacheren Systemen einen guten Funktionsumfang mit zusätzlicher Diebstahlsicherung – kann aber nur 7 Tage als Testversion genutzt werden. Avira ist 30 Tage nutzbar, jedoch etwas schwächer qua Ausstattung. Sehr leistungsfähig ist auch Kaspersky Anti-Virus Mobile, das ebenfalls als recht aktuelle Testversion zur Verfügung steht.

Die Downloads für mobile Antivirensoftware werden oft von den Download-Plattformen etwas stiefmütterlich behandelt. Die Suche nach den aktuellsten Versionen ist lästig – längst gibt es nicht überall aktuelle Versionen. Ein Blick aufs Erzeugungsdatum der Datei ist daher auch vor der Installation empfehlenswert.

Selbstredend sollte man Antivirensoftware nur von bekannt zuverlässigen Webseiten herunterladen. In Deutschland sind dies beispielsweise magnus.de, chip.de oder pcwelt.de oder natürlich die Hersteller selbst. Auf dubiosen Seiten kann man sich sehr schnell einen Virus einfangen, wenn sich das vermeintliche Schutzprogramm selbst als Schädling erweist – Dateien kann man beliebig benennen.

Betroffene Systeme: Symbian S60 – normalerweise nur second Edition
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: mittel

Multidropper kommt als SIS Installationsdatei aufs Handy. Der Virus selbst hat keine größere Schadwirkung, trägt aber verschiedene andere Viren als Nutzlast auf die betroffenen Geräte. Damit ist Multidropper durchaus zu mittleren Schadwirkungen fähig, wenn beispielsweise die Viren/Trojaner Beselo, Commwarrior, Fontal oder in einigen Versionen auch Kiazha auf ein Handy gelangen.

Der Schutz vor Multidropper ist recht einfach. Nur vertrauenswürdige Software sollte installiert werden. Vorsicht ist vor allem bei den SIS-Paketen angebracht, welche reißerische Namen haben und nicht von offiziellen Herstellerseiten oder bekannt seriösen Quellen kommen. In jedem Fall ist ein adäquates Antivirenprogramm von bsp. Symantec, F-Secure, Umu oder Avira empfehlenswert, das den Schädling erkennen und eliminieren kann. Je nach “Nutzlast” von Multidropper bleibt ansonsten nur der Reset des Handys auf die Werkseinstellungen, wodurch gespeicherte Kontakte sowie Daten verloren gehen.

Betroffene Systeme: Symbian S60 second Edition
Übertragungsweg: Installationsdatei (SIS), Kiazha kommt häufig durch einen anderen Virus namens Multidropper aufs Handy
Schadwirkung: niedrig

Ein kleiner Erpresser ist der Symbian Virus Kiazha. Erst einmal etwas zum Namen – dieser wird bei den Herstellern von Antivirensoftware unterschiedlich gehandhabt. Entsprechend ist dieser Virus auch als Kuku oder QQSend bekannt.

Sobald er sich auf dem Handy eingenistet hat, löscht er die vorhandenen SMS und sendet selbst eine SMS an eine im Virus frei definierbare Nummer. Das kann teuer werden, wenn hiermit “Mehrwert”dienste wie Klingeltöne oder Telefonsex abonniert werden. In der Ursprungsversion bekommt der Nutzer hierdurch einen Account beim Messaging Dienst Tencent QQ in Asien – dem dort am weitesten verbreiteten Netz für Messaging. Angesichts der in China grassierenden Virengefahr und der aggressiven Vermarktung, verwundert es mich nicht, dass einige den Virus als Kundengewinnungs-/Installationsoption ansehen, vor allem westliche Firmen jedoch deutlich vor dem Schädling warnen. Normalerweise wird Kiazha als Nutzlast des Virus Multidropper auf einem Handy installiert.

Es gibt aber auch Varianten, die netterweise die Beseitigung des Virus anbieten. Dafür darf man dann an einen chinesischen Dienst 50 Yüan (oder wie auch immer man das schreibt), also 50 CNY bezahlen. Der Virus ist zudem technisch in der Lage, die IMEI (International Mobile Equipment Identity) Identifikationsnummer des Handys sowie die Version des Betriebssystems Symbian an die angegebene Nummer zu übermitteln.

Kiazha, also QQSend oder Kuku kann durch gängige Virensoftware von Symantec, F-Secure, Kaspersky oder weiteren Herstellern eliminiert werden. Bitte beachten Sie jedoch, dass in der Regel auch das “Mutterschiff” Multidropper entfernt werden muss.

Betroffene Systeme: Symbian S60 third edition
Übertragungsweg: MMS, Aufruf einer korrumpierten Webseite
Schadwirkung: niedrig

Der Virus MMS Bomber ist zunächst in China aufgetreten. Er tarnt sich als normale Applikation, wobei verschiedene Namen verfügbar sind. Einmal gestartet, nistet sich MMS Bomber im Betriebssystem ein und versendet gleichzeitig Nachrichten an alle Einträge im Adressbuch. Werden diese MMS auf dem Handy des Empfängers aufgerufen, erstellt der Virus eine Internetverbindung zu einer vorher definierten Webseite. Damit erfolgt dann auch die Infektion. Die Handys sind danach kaum noch funktionsfähig und eine Entfernung ohne Antivirensoftware ist sehr schwierig. Ein Reset des Handys auf Werkseinstellungen eliminiert den Wurm, wobei jedoch die Kontakte oder auch gespeicherte SMS/MMS verloren gehen.

In China hat sich der Virus anscheinend wie eine Lawine ausgebreitet, sagt zumindest NetQuin, ein dortiger Anbieter von Antivirensoftware. In Europa oder Amerika war hingegen nichts besonderes zu spüren. Trotzdem sind auch die hiesigen Anbieter von Antivirus-Software gegen den Schädling gewappnet.

Die Klassifikation als niedrige Schadstufe erfolgt für Europa und Amerika, da MMS Bomber bislang ein eher lokales Problem ist.

Betroffene Systeme: Symbian S60 second Edition und älter
Übertragungsweg: Installationsdatei (SIS), MMC-Speicherkarte
Schadwirkung: niedrig

Der HatiHati Virus entstand aus einer Software, die verloren gegangene Handys aufspüren sollte. Einmal aktiviert, sendet er eine Menge SMS an eine vordefinierte Nummer. Hierbei kann eine enorm hohe Telefonrechnung entstehen. Für den urpsrünglichen Schutz vor Diebstählen sah das Programm vor, beim Einlegen einer neuen SIM-Karte eine Warnung abzusetzen. Die Schadvariante macht dies ständig. Absolut teuer kann dabei die Anwahl von “Mehrwert”diensten oder Abos werden. Bislang aufgetretene Varianten des Wurms sind nur durch Tausch von zusätzlichen Speicherkarten übertragbar – die gefährlicheren Übertragungswege Bluetooth oder SMS beherrschen die HatiHati Varianten noch nicht.

Zur Abwehr reicht also ein Virenscan mit aktueller Antivirensoftware von Symantec, F-Secure, Kasperky oder ähnlichen Programmen. Man kann den Virus auch manuell entfernen, indem man (mit komplettem Datenverlust) das Handy auf die Werkseinstellungen zurücksetzt und die Speicherkarte neu formatiert.

Neben immer mehr Funktionalitäten sind mittlerweile auch erstaunlich viele Prozesse zur Bezahlung mit einem Handy machbar. Die Beträge werden dann einfach über die Telefonabrechnung beglichen. Das ist einerseits bequem, weil man nicht gleich umständlich seine Kreditkarte zücken muss. Andererseits ist im Falle von Problemen auch ein erheblicher Mehraufwand nötig, wenn man beispielsweise sein Geld zurückbekommen möchte.

Vor allem kleinere Beträge, etwa für Klingeltöne oder Browserspiele, sind heute gerne per Handy bezahlt. Hierzu muss man allerdings wissen, dass die Mobilfunkanbieter kräftig die Hand aufhalten. Es ist durchaus üblich, dass bei Beträgen bis ca. 5 Euro 40% – 50% der Zahlungssumme für die Abwicklung vom Provider einbehalten werden. Das staffelt sich nach den Volumina der Umsätze, unter 20% kommt kaum jemand davon. Der eigentliche Anbieter erhält also im schlimmsten Fall nur die Hälfte an Einnahmen des Rechnungsbetrags. Das ist natürlich von vornhinein einkalkuliert und mit einem Aufschlag in der Kalkulation versehen und macht den Dienst im Endeffekt für den Kunden teurer.

Bei einer Kreditkarte gibt es andere Abrechnungsmöglichkeiten. Man kann bei unterschiedlichsten Firmen entweder rein nach Prozenten abrechnen oder nach einem Fixbetrag und etwas geringeren Prozenten. Im günstigsten Fall kommt der Anbieter mit rund 5% Kosten für die Transaktion davon. Entsprechend oft ist die Bezahlung per Kreditkarte für den Endkunden dann auch etwas günstiger – falls sie angeboten wird.

Aus Endkundensicht ist noch etwas anderes interessant. Falls es Probleme bei den Diensten/Käufen und der Abrechnung geht, ist man bei vielen Kreditkarten besser dran, als bei Abrechnungen per Handy. Je nach Art der Kreditkarte sind Rückbuchungen bis zu 6 Monaten möglich. Die Kreditkartenfirmen sind dann gegenüber problematischen Anbietern mit einer deutlich stärkeren Stellung unterwegs, um unberechtigte Forderungen oder Reklamationen abzuwehren. Bei Bezahlung via Handy ist dagegen der Rechnungsbetrag längst verbucht und zwischen Provider sowie Anbieter aufgeteilt. Da wieder heranzukommen, gestaltet sich oft schwierig – vor allem, wenn ein Virus kostenpflichtige Dienste angerufen oder abonniert hat.

Wer die Kosten für eine Kreditkarte scheut, braucht nicht gleich verzweifeln, das geht billiger. Unter kostenlose Kreditkarte sind einige Karten aufgeführt, bei denen keine Jahresgebühren oder ähnliches anfallen. Das ist ein guter Weg, wenn man die zusätzliche Sicherheit gegenüber Abrechnungen per Handy möchte, aber nicht gleich 20 oder mehr Euro im Jahr nur für Gebühren ausgeben will.

Dies gilt um so mehr, wenn man nur mit einem Prepaid-Handy unterwegs ist. Hier irgendetwas zurückzubekommen, ist Sysiphusarbeit. Immerhin sind die Beträge einer Zahlung dann schon längst aufgeteilt zwischen Provider und Anbieter. Selbst eine Prepaid-Kreditkarte bietet da mehr Sicherheit – man hat erst einmal auch nur einen Ansprechpartner, mit dem man sich auseinandersetzen muss. Besonders, wenn man sich einen Virus eingefangen hat und nun selbst in der Haftung ist.

Betroffene Systeme: Symbian
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: niedrig

Von RomRide gibt es verschiedene Varianten, RomRide A bis aktuell J. Der Virus kommt als Installationsdatei (SIS) aufs Handy und hat einige unschöne Eigenschaften. Bei der Aktivierung des Virus werden wichtige Systemdateien überschrieben, welche einen Neustart des Handys (Reboot) unmöglich machen. Das Handy “hängt sich auf”, da es wichtige Funktionen nicht erreichen kann. Damit die Schadwirkung möglichst schnell eintritt, fährt RomRide das Handy herunter, damit es, wie eben beschrieben, beim Neustart funktionsunfähig ist. Einige Varianten von RomRide spielen zuvor noch eine kleine Audiodatei. Das ist denn auch ein sehr guter Hinweis, dass mit dem Mobiltelefon etwas nicht stimmt.

Zur Beseitigung von RomRide hilft nur ein Hardware-Reset des Handys auf die Werkseinstellungen. Dabei gehen Kontakte und gespeicherte Daten verloren. Avira, F-Secure oder auch Symantec schützen mit ihrer Antivirensoftware vor einer Infektion.

Betroffene Systeme: Symbian S60 third Edition – dritte Ausgabe
Übertragungsweg: Installationsdatei (SIS), Webdownload, WAP-Download, SMS
Schadwirkung: niedrig bis mittel

Recht hinterhältig ist der Virus Sexy Space – ein Trojaner mit Multiplikationsfähigkeiten eines Wurms. Dessen Programmierer haben es geschafft, die eigentlich der Symbian Foundation vorbehaltene digitale Signatur für sichere Programme zu umgehen. Kur zur Erinnerung: eigentlich sollten nur solche Programme ohne Probleme installierbar sein, die ein Zertifikat von Symbian haben, weil sie als unbedenklich eingestuft wurden. Der Virus gibt sich meist als folgende Datei aus: ACSServer.exe. Einmal aktiviert, hat Sexy Spaces ein recht übles Repertoire an Schadwirkungen. Er liest das komplette Adressbuch aus und schickt SMS mit Links zu dubiosen Seiten an die Kontakte. Werden die Seiten von einem anderen Symbian-Handy angewählt, können sie sich ebenfalls infizieren. Darüber hinaus versucht er Kontakt mit Webservern aufzubauen, denen er sämtliche Daten des Handy-Eigentümers schicken möchte. Nicht auszuschließen ist eine Versendung von SMS an sogenannte “Mehrwertdienste”, also bspw. Telefonsexanbieter, die dann kräftig mit Abos kassieren wollen. Man darf gespannt sein, ob es Weiterentwicklungen des Virus geben wird, die weitere Schadroutinen beinhalten. Entstanden ist Sexy Spaces aus der Entwicklungslinie Sexy View / Exy Versionen A-D. Ein Antivirenprogramm ist dringend empfohlen.

Mittlerweile wird der Virus seltener, da auch mit bekannter Antivirensoftware wie F-Secure, Symantec, Avira oder vergleichbaren Programmen erfolgreich gegen ihn vorgegangen wurde.

FlexiSpy ist eine kommerziell erhältliche Software. Für rund 150 Dollar kann man sie direkt beim Hersteller beziehen. Auf einem Handy installiert, ist FlexiSpy zu einer fast vollkommenen Überwachung fähig. Es ist beispielsweise möglich, alle SMS oder die Daten von Telefonverbindungen mitzulesen. Auch kann FlexiSpy benutzt werden, um ein Smartphone als Wanze zu benutzen. Sowohl der Ort von Gesprächen ist ermittelbar – GPS machts möglich – als auch sogenannte Spycalls, bei denen das Telefon von außen aktiviert wird und munter alle Töne und Gespräche an Dritte überträgt, gehören zum Funktionsumfang.

Beispielsweise F-Secure stuft entsprechend FlexiSpy als Trojaner ein. Meines Erachtens nicht zu Unrecht, weil auch weitere Funktionen eines Handys aktiviert werden können, ohne, dass ein Opfer dies merkt. Vor allem im geschäftlichen Umfeld ist daher Vorsicht angebracht, wenn man mit einem infizierten Handy etwa in wichtige Besprechungen geht. Das infizierte Telefon kann wirklich alle relevanten Daten übermitteln, ohne, dass der Benutzer dies merkt.

FlexiSpy ist für verschiedene Betriebssysteme erhältlich. Versionen für Symbian, Windows Mobile, Blackberry und iPhone sind verfügbar. Also ist das Programm auch für alle relevanten Business-Handys gefährlich.

Die Anwendung in Deutschland – etwa zum Abhöhren oder Mitlesen von SMS und Emails, ist verboten, wenn der Besitzer/Benutzer des Handys nicht ausdrücklich zugestimmt hat. Das dürfte angesichts des Funktionsumfangs der Software dann doch eher unwahrscheinlich sein.

F-Secure und andere Antivirensoftware kann FlexiSpy erkennen und eliminieren.

Betroffene Systeme: Symbian, Windows Mobile, teilweise Android, teilweise iPhone – alle Java-fähigen Handys
Übertragungsweg: Installationsdatei (JAR/JAD)
Schadwirkung: niedrig

Ursprünglich scheint Smarn zur Auffindung verlorengegangener Handys geeignet. Heute wird Smarn gerne von betrügerischen Dienstleistern genutzt, welche bspw. Telefonsex oder andere “Mehrwert”dienste anbieten. Der Virus kann frei für gewünschte Rufnummern konfiguriert werden, an die er bei Aktivierung eine SMS sendet. Nach der Installation der Java-Datei erscheint eine neue Applikation auf dem Handy. Wird diese ausgeführt, erfolgt der Versand der SMS. Damit sind bei jeder Aktivierung ansehnliche Beträge für die Telefonrechnung fällig – auch können hier kostenpflichtige, langfristige Abofallen lauern. Ein Hinweis auf den Virus ist dann auch die Rechnung des Providers mit nicht erklärbaren Beträgen. Zu beachten ist, dass der Virus in fast jede Sprache übersetzt werden und mit beliebigen Namen versehen werden kann.

Aktuelle Antivirensoftware erkennt den Virus und kann ihn stoppen. Hier wären F-Secure, Symantec, Avira oder UMU zu nennen.