Skip to content

Smarte Telefone, mehr oder weniger smarte Würmer

Bisher ging es bei unserer Reise durch die Welt der Computerwürmer überwiegend um Würmer, die sich über das Internet oder mobile Massenspeicher von einem Computer auf den nächsten verbreiten. Aber das war den Cyberkriminellen hinter den Würmern schon vor einigen Jahren nicht mehr genug, und sie suchten nach neuen Lebensräumen für ihr digitales Spielzeug. Fündig wurden sie bei den Smartphones. Das sind ja eigentlich auch nichts weiter als miniaturisierte Computer, die zusätzlich noch mehr oder weniger gut zum telefonieren geeignet sind. Warum sollten sie also nicht von Computerwürmern befallen werden?

2004: Caribik-Urlaub für Symbian

Cabir ist ein Wurm für SymbianOS, der sich als Datei caribe.sis über Bluetooth verbreitet. Der Wurm landet im Posteingang angegriffener Smartphones und muss vom Benutzer gestartet werden, um aktiv zu werden. Einmal installiert, sendet der Wurm sich über Bluetooth an alle erreichbaren Smartphones. Durch einen Fehler hörten die ersten Versionen dabei nach dem ersten gefundenen Gerät auf, so dass pro Start nur ein anderes Gerät infiziert werden konnte. Und auch das nur, wenn es erstens unter Symbian läuft (der Wurm interessiert sich nicht dafür, an was für ein Gerät er sich sendet) und zweitens der Benutzer des Geräts den Wurm startet.

Die Ausbreitung von Cabir

Erstmals wurde Cabir im Juni 2004 gesichtet. F-Secure berichtete am 15. Juni erstmals über den Wurm und präsentierte einige Bilder der Wurm-Installation sowie der Desinfektion. Schon am 16. Juni wurde Variante B gemeldet.

Am 23. August wurde der Wurm erstmals "in the Wild" beobachtet, und zwar auf den Philippinen. Es folgten Singapur (3. Oktober), die Vereinigten Arabischen Emirate, das chinesische Festland, Indien und Finnland (24. November). Am 4. Januar 2005 wurde der Quellcode des Wurms veröffentlicht. "In the wild" wurde der Wurm danach in Großbritannien (18. Januar, davor wurde er in Vietnam, der Türkei und Russland gesichtet). Italien, den USA (14. Februar), Südafrika und Australien (21. Februar), Hong Kong und Japan (3. März), Frankreich (4. März), den Niederlanden und Ägypten (16. April) Luxemburg (26. April), Griechenland (6. Mai), Neuseeland und der Schweiz, (11. Mai) und in Deutschland (19. Mai) gesichtet.

Für einen Computerwurm wäre so eine Ausbreitungsgeschwindigkeit das reinste Schneckentempo. Für einen Wurm, der sich nur über Bluetooth von Smartphone zu Smartphone verbreitet, dabei auf die Hilfe des Benutzers angewiesen ist und nach jedem Start nur je einen Versuch startet, ist diese Ausbreitung dagegen doch sehr beachtlich. Zu Gute gekommen sind dem Wurm dabei größeren Menschenansammlungen, z.B. ganz einfach auf öffentlichen Plätzen, aber auch auf Konferenzen oder in Stadien.

Es gibt eine ganze Reihe von Cabir-Varianten (teilweise auch nur umgepackte Versionen älterer Varianten), die aber alle nur Smartphones infizieren. Berichte, dass auch auf Symbian basierende Navigationssysteme und Auto-Bordcomputer infiziert werden könnten, erwiesen sich als falsch, was F-Secure durch ausführliche Tests überprüft hat.

Commwarrior schickt MMS

Commwarrior ist ein weiterer Wurm für Symbian, der sich außer über Bluetooth auch über MMS verbreitet und damit ein größeres Tempo als Cabir erreicht. An die im Adressbuch eingetragenen Telefonnummern wird dabei eine MMS mit der Datei commw.sis und einer Beschreibung, die sie z.B. als Virenscanner oder Spiel ausgibt, geschickt. Da die MMS von bekannten Absendern kommen, werden mehr Empfänger den Wurm starten als im Fall der über Bluetooth verbreiteten Würmer, die quasi aus dem Nichts auf den Smartphones auftauchen.

Von den Symbian-Würmern machen wir nun einen Sprung in die Gegenwart und zu den iPhone-Würmern.

2009: iPhone: Jailbreak lockt Würmer an, zuerst 'ikee'...

Anfang November 2009 tauchte der erste iPhone-Wurm auf, der sich zuerst in Australien verbreitete. Der ikee genannte Wurm infizierte nur iPhones, auf denen nach einem Jailbreak das Default-Passwort für den installierten SSH-Daemon nicht geändert wurde. Einmal installiert, suchte der Wurm nach weiteren angreifbaren iPhones.

Nach der Installation tauschte der Wurm das Wallpaper für den Lock-Screen durch ein Bild von Rick Astley mit der Nachricht

ikee is never going to give you up

Weiteren Schadcode (außer der Verbreitungsroutine) enthielt der Wurm nicht. Der Wurm-Autor, der sich im Sourcecode des Wurms selbst ikex nennt, nannte im Sourcecode folgenden Grund für dessen Entwicklung:

"Why?: Boredom, because i found it so stupid the fact that on my initial scan of my 3G optus range i found 27 hosts running SSH daemons, i could access 26 of them with root:alpine. Doesn't anyone RTFM anymore"

In einem per Chat durchgeführten Interview schrieb der Wurm-Autor u.a., dass von seinem iPhone "100+ phones" infiziert wurden. Außerdem gab er eine Anleitung zur Entfernung des Wurms.

Die ausgenutzte Schwachstelle (wenn man denn das Nicht-Lesen der Anleitung so nennen will, denn die sieht das Ändern des Passworts vor) wurde bereits zuvor ausgenutzt. In den Niederlanden wurden darüber ungeschützte iPhones per Portscan gesucht, ein Wallpaper mit einer Warnung installiert und dann deren Besitzern für 5 Euro eine Anleitung zum Beheben der "Schwachstelle" angeboten.

Der Wurm sorgte als erster iPhone-Wurm für viel Aufmerksamkeit, und auch sein Sourcecode war heiß begehrt. Kurz nach der Veröffentlichung von ikee wurde ein in Python geschriebenes Tool gesichtet, dass die gleiche "Schwachstelle" ausnutzt, um vertrauliche Daten vom iPhone zu kopieren.

Während die meisten anderen Wurm-Autoren, wenn sie denn ermittelt werden konnten, vor Gericht gestellt und bestraft wurden, wurde der Entwickler von ikee belohnt: Er wurde von einem Unternehmen, dass iPhone-Anwendungen entwickelt, eingestellt. Verbrechen lohnt sich mitunter also doch? Das ist keine gute Nachricht, da es Nachahmer ermuntern kann.

... dann 'Duh'

Ende November wurde dann der nächste iPhone-Wurm entdeckt, der im Gegensatz zu ikee eine tatsächliche Schadfunktion enthielt: Der teilweise 'Duh' genannte Wurm nutzte Command&Control-Funktionen wie ein Botnet und schickte die auf den infizierten iPhones gefundenen Daten an einen Server der Cyberkriminellen. Außerdem sorgte der Wurm dafür, dass er bei jedem Neustart ebenfalls gestartet wird, und änderte das Default-Passwort. Dabei wurde nicht (nur) das SSH-Passwort geändert, sondern in /etc/master.passwd jedes Passwort, dass dem Default-Passwort 'alpine' entspricht, überschrieben.

Duh nutzte den Code des ikee-Wurms als Verbreitungsroutine, wie nach dem Interesse an dessen Sourcecode wohl zu befürchten war.

Damit soll es dann auch erst mal genug sein mit der Geschichte der Würmer. In der nächsten Folge geht es um eine weitere Art von Schadsoftware: Trojaner.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer
Würmer - Schadsoftware, die sich selbst verbreitet
Schadsoftware - Die Entwicklung der Würmer
1999 - Die Ausbreitung der Würmer beginnt
2003 - Würmer ohne Ende
2004 - Mehr Würmer, mehr Ziele, mehr Opfer
2004 - Der Aufbruch der Würmer ins Web
2007 - Würmer im Sturm und in Facebook
Conficker, Stuxnet, "Here you have" - die aktuellen Würmer
Smarte Telefone, mehr oder weniger smarte Würmer
Trojaner - Der Feind im harmlosen Programm
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : Die Sache mit den Standortdaten...

Vorschau anzeigen
Apple speichert laufend die Standortdaten von iPhone und iPad 3G in einer "geheimen" (oder sagen wir besser "offiziell nicht dokumentierten") Datei auf den Geräten und ggf. als Backup auf damit synchronisierten Desktop-Rechnern. Ob sie auch

Dipl.-Inform. Carsten Eilers am : Onlinebanking: Cyberkriminelle reagieren auf Chip- und SMS-TAN

Vorschau anzeigen
Cyberkriminelle und Banken liefern sich zur Zeit wohl ein Rennen wie Hase und Igel. Die Frage ist nur, wer Hase und wer Igel ist und ob der Hase am Ende wirklich tot umfällt. TAN-Listen tot, SMS-TAN angeschlagen Die herkömmliche

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!