Mobile Malware

Neues Spionageprogramm für Windows Mobile entdeckt

Donnerstag den 28.02.2008 um 15:19 Uhr

von Frank Ziemann

Malware für mobile Endgeräte wie PDAs oder Smartphones gilt immer noch als exotisch, kann sich jedoch genau deshalb relativ ungestört verbreiten.
Benutzer mobiler Geräte sind selten sicherheitsbewusst genug, um sich ein Antivirus-Programm dafür anzuschaffen und oft sorglos genug, um vermeintlich nützliche Software auch von unbekannten Anbietern zu installieren. Die amerikanische IT-Sicherheitsbehörde US-CERT warnt vor einem neu entdeckten Trojanischen Pferd namens "WinCE/InfoJack", das Daten ausspioniert und Sicherheitsmechanismen abschaltet.

Der Schädling ist in China aufgetaucht und wird von einem bestimmten Server als heimliche Beigabe zu verschiedenen legitimen Programmen mitgeliefert, zum Beispiel Google Maps, Börsenprogramme oder Spielesammlungen. Wird ein solches Programm installiert, gelangt auch InfoJack in das System. Betroffen sind Geräte, die mit Windows Mobile (vormals Windows CE) als Betriebssystem arbeiten.

Ist WinCE/InfoJack installiert, sendet es Informationen wie die Seriennummer des Geräts, die Betriebssystemversion sowie weitere Daten an den Betreiber des Web-Servers. Dieser behauptet, das Programm diene lediglich dazu Informationen darüber zu erhalten, mit welcher Mobilgeräten die Besucher seinen Server besuchten. Das ist allerdings kaum glaubhaft, denn InfoJack weist einige Eigenschaften auf, die das Programm als Schädling ausweisen.

Es installiert sich als automatisch startendes Programm auf der Speicherkarte und schützt sich selbst vor den Löschversuchen des Benutzers. Es installiert sich auf das Mobiltelefon, wenn eine verseuchte Speicherkarte eingelegt wird und manipuliert die Startseite des Web-Browsers. Außerdem schaltet es die Warnmeldung ab, die normalerweise erscheint, wenn eine unsignierte Anwendung installiert werden soll. Dadurch wird der heimlichen Versuchung mit weiterer Malware Tür und Tor geöffnet. WinCE/InfoJack selbst nutzt dies, um sich selbst aktualisieren zu können.

Die gute Nachricht ist, dass der Server des Angreifers mittlerweile nicht mehr erreichbar ist. Eingeleitete Ermittlungen der chinesischen Behörden dürften dazu beigetragen haben, wie Jimmy Shah im Blog der McAfee Avert Labs berichtet .

Donnerstag den 28.02.2008 um 15:19 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
51374