Hanau, 5. August 2013

Im Juli hat der technische Support von Doctor Web eine Menge von Anfragen von Anwendern erhalten, die wegen Encoder-Trojaner zu Schaden gekommen sind. Es gab auch Opfer, die unter Trojan.Winlock gelitten haben. Darüber hinaus haben unsere Sicherheitsspezialisten weitere Android-Trojaner auf Google Play entdeckt. Nach Meinung unserer Experten konnten dadurch 10 000 bis 25 000 Anwender zu Schaden kommen.

Allgemeine Sicherheitslage

Laut Statistiken, die durch Dr.Web CureIt! gesammelt wurden, gehört Trojan.LoadMoney.1 in diesem Monat zum Tabellenführer. Der Trojaner lädt Adware herunter und installiert diese auf PCs der Benutzer. Den zweiten Platz belegt Trojan.Hosts.6815, der die hosts-Datei auf dem infizierten PC modifiziert. Beim Aufrufen von Web-Inhalten wird man sofort auf die speziell vorgefertigte Webseite umgeleitet. Den dritten Platz belegt Trojan.Mods.2, der Web-Inhalte austauscht. Der Benutzer wird in diesem Fall auf extra gebastelte Websites umgeleitet, wo er seine Telefonnummer angeben und auf eine Nachricht mit seiner SMS antworten soll. Befolgt das Opfer solche Anweisungen, wird von seinem Konto ein beliebiger Betrag abgebucht. Nachfolgend finden Sie die Top 20 der meist verbreiteten Malware im Juli 2013:

Encoder und Winlocks

Nur im Juli sind bei uns über 550 Support-Anfragen von Benutzern eingegangen, die wegen Encoder-Trojaner zu Schaden gekommen sind. Diese Trojaner fordern Lösegeld für die Entschlüsselung von Benutzerdateien. Die Encoder verschlüsseln verschiedene Dateien: Archive, Bilder, Dateien, Musik, Filme usw.

Nachfolgend finden Sie die häufigsten Varianten dieses Encoder-Trojaners:

Der größte Anteil der Benutzer (75%) lebt in Russland, die weiteren 15% der Benutzer - in der Ukraine. Ähnliche Fälle sind auch in Brasilien, Venezuela, Estland, den USA, Kolumbien, Argentinien, Chile und den EU-Ländern zu finden.

Botnets

Das Botnet von Win32.Rmnet.12 schrumpft. Das ist eine gute Nachricht. Zur Zeit sind im ersten Subnet 392 538 und im zweiten - 532 166 infizierte Rechner eingebunden. In den vergangenen 30 Tagen sind 374 605 und 288 634 neu infizierte Rechner dazugekommen. Die Gesamtdynamik des Botnets im Juli finden Sie wie folgt:

Das Botnet von Win32.Rmnet.16 ist um das Doppelte geschrumpft. Ende Juli sind nur noch 2059 infizierte Rechner im Botnet geblieben.

Trojan.Rmnet.19 weist mit den restlichen 4955 infizierten Rechnern auch eine sinkende Tendenz auf. Die Gesamtdynamik des Botnets von Trojan.Rmnet.19 können Sie der nachfolgenden Grafik entnehmen.

Das Botnet von BackDoor.Bulknet.739 ist auch zurückgegangen. Dieser Trojaner ist vor allem für den massenhaften Versand von Spam-Mails gedacht. Im Juli 2013 wurden ca. 2500 aktive infizierte Rechner detektiert. Täglich haben 500 bis 800 infizierte PCs auf den Verwaltungsserver von BackDoor.Bulknet.739 zugegriffen. Den Verlauf der Infizierung von Workstations durch BackDoor.Bulknet.739 können Sie auf nachfolgenden Grafik verfolgen.

Die Anzahl der durch BackDoor.Dande infizierten PCs (1209) ist in den vergangenen 30 Tagen relativ stabil geblieben. Dieser Schädling klaut Daten von Pharmaunternehmen, und zwar aus Client-Anwendungen für elektronische Bestellungen.

Das Botnet von BackDoor.Flashback.39, das Apple-kompatible Rechner eingebunden hat, lebt weiter. Täglich greifen auf den Verwaltungsserver des Botnets rund 40 000 infizierte Macs zu. Nachfolgend finden Sie die Aktivitätsdynamik des Botnets.

Diese Grafik zeigt, dass das Botnet von BackDoor.Flashback.39 kein Wachstum, aber auch keinen Schrumpfen vorweist. Der Grund dafür kann der Leichtsinn von Mac OS Benutzern sein.

Bedrohungen für mobile Endgeräte

Spyware für mobile Endgeräte erfreut sich bei Übeltätern großer Beliebtheit. Die IT-Sicherheitsspezialisten von Doctor Web haben nur im Juli Spionprogramme wie Android.MobileSpy und Program.Mobimon sowie neue Spyware-Familien von Program.Topspy und Program.Tracer entdeckt. Durch diese Programme können die Übeltäter Aktivitäten der Benutzer auf mobilen Endgeräten unter Android, BlackBerry und Symbian OS ausspähen.

Unsere Experten stellen u.a. eine Tendenz fest, dass von Cyber-Kriminellen immer mehr Dienstleistungen im Bereich Datendiebstahl angeboten werden. Die Zahl der Spionprogramme wächst. Solche Programme können die für den Benutzer gefährlichen Funktionen in beliebige Android-Anwendungen integrieren. Im Juli haben die Sicherheitsspezialisten von Doctor Web Tools wie Tool.Androrat und Tool.Raziel entdeckt. Das erste Tool nutzt für seine Funktion das Programm für den Fernzugriff AndroRat aus, das durch als Program.Androrat.1.origin detektiert wird. Das zweite Spyware-Tool kann in Android-Anwendungen integriert oder in einem separaten apk-Paket erstellt werden. Dieser Schädling wird als Android.Raziel.1.origin detektiert.

Die Besonderheit solcher Anwendungen besteht darin, dass sie auch von Laien gebastelt werden können. Es ist höchstwahrscheinlich, dass die Anzahl solcher Android-Programme auch weiterhin wachsen wird.

Die Master Key-Sicherheitslücke in Android hat auch im Juli für Schlagzeilen gesorgt. Die Sicherheitsanalysten von Doctor Web haben schnell reagiert und Dr.Web für Android mit Updates ausgerüstet, die die Entdeckung von Malware, die eine solche Sicherheitslücke ausnutzen kann, gewährleisten sollten. Diese Malware wird als Exploit.APKDuplicateName detektiert.

Weniger als einen Monat später ist ein weiterer Trojaner aufgetaucht, der diese Sicherheitslücke ausnutzt. Es war Android.Nimefas.1.origin, der auf einem chinesischen Internetportal entdeckt wurde. Dieser Trojaner kann SMS verschicken, E-Mails abfangen und sensible Daten wie Telefonnummern aus dem Telefonbuch eines Benutzers auf einen Verwaltungsserver weiterleiten. Weitere Informationen zu diesem Schädling finden Sie hier.

Ende Juli wurden von Doctor Web Anwendungen auf Google Play entdeckt, die Trojaner der Familie Android.SmsSend auf mobilen Endgeräten der Android-Benutzer installieren konnten.

Dieser Fall zeigt, dass das Niveau der IT-Sicherheit im Google-Verzeichnis nicht ausreicht. Die Android-Benutzer sollten deshalb Anwendungen vom Google Play vorsichtig benutzen.

Malware im E-Mail-Traffic der Benutzer

Malware auf PCs der Benutzer