Ihre Android-Malware vom freundlichen Russen

Die Betroffenen von Malware-Angriffen auf Android-Smartphones und -Tablets haben es mit hoher Wahrscheinlichkeit mit einem Ring russischer Krimineller zu tun, die den Bereich zu einem guten Teil beherrschen. Immerhin rund ein Drittel der Schad-Software für die mobile Plattform soll von lediglich zehn Organisationen aus Russland stammen. Das ist ein Ergebnis der Operation "Dragon Lady" des Sicherheits-Unternehmens Lookout, das aktuell auf der Hacker-Konferenz Defcon vorgestellt wurde. Laut den Analysen ist das Netzwerk, das sich aus diesen Unternehmen zusammensetzt für 60 Prozent des Betrugs mit kostenpflichtigen Premium-SMS in Russland verantwortlich.

Die zehn Malware-Unternehmen arbeiten demnach mit mehreren tausend Affiliate-Partnern zusammen und statten diese mit den Werkzeugen und dem Know-How für effektive Malware-Kampagnen aus. Um die Verbreitung für ihre Partner so einfach wie möglich zu machen, haben die Firmen eine online verfügbare Do-it-yourself-Plattform entwickelt.

In wenigen Schritten können sich hier selbst Anfänger ohne technische Vorkenntnisse ihre individuellen Apps mit integrierten Schad-Routinen zusammenstellen. Per Baukasten-Prinzip konfigurieren die Affiliate-Partner ihre Malware so, dass sie wie die neueste Version von Angry Birds oder Skype aussehen. Diese werden dann über Landing-Pages verbreitet, auf die man die Nutzer unter anderem mit Spam in sozialen Netzwerken lockt.

Die Partner verfügen laut der Untersuchung insgesamt über zehntausende Webseiten, auf denen ihre Malware beworben wird. Insbesondere Twitter nutzen sie intensiv: Von knapp 50.000 Profilen setzten sie insgesamt 250.000 Tweets mit Links zu den schädlichen Apps ab. Diese zielen vor allem auf Russisch sprechende Nutzer ab, die nach kostenlosen Apps, Spielen, Musik oder Pornos suchen. Einige der Affiliate-Partner verdienen Belegen zufolge bis zu 12.000 Dollar monatlich an Provisionen.

Während diese Partner den Vertrieb übernehmen, arbeiten die Malware-Unternehmen im Hintergrund und leisten dabei einen umfassenden Service. Sie verantworten die technischen Fragen rund um die Entwicklung und Zusammenstellung der Malware, veröffentlichen alle zwei Wochen neuen Code oder hosten die Malware. Zudem informieren sie ihre Partner per Blog-Post oder Newsletter über die neuesten Betrugs-Taktiken oder wie sie sich der Strafverfolgung und Sicherheitsunternehmen entziehen.

Einige Malware-Unternehmen haben sogar einen Wettbewerb unter ihren Affiliate-Partnern gestartet und belohnen den umsatzstärksten Partner. Zudem registrieren die Malware-Entwickler auch die Kurzwahlen für den Premium-SMS-Betrug. So kontrollieren sie die Geldflüsse und stellen sicher, nicht von ihren Partnern übervorteilt zu werden.

"Seit dem ersten Premium-SMS-Betrug per Schad-App im August 2010 hat sich diese Art von Malware immer weiter verbreitet und wurde auch immer ausgefeilter", sagte Ryan Smith, Sicherheitsexperte bei Lookout, der das Untergrundnetzwerk seit mehr als einem halben Jahr beobachtet. "Aufgrund weniger strenger Regulierungen und dem Boom alternativer App-Stores und Foren kommt Premium-SMS-Betrug vor allem in Osteuropa vor."