Es ist wahrscheinlicher, dass Sie vom Blitz getroffen werden, als dass Sie mit mobiler Malware infiziert sind

Auf der RSA 2015-Konferenz gaben Forscher des Sicherheitsunternehmens Damballa bekannt, dass in den USA die Wahrscheinlichkeit, dass Sie vom Blitz getroffen werden, viel höher ist als eine Infektion mit mobiler Malware. Während dies eine frühere Studie des Unternehmens untermauert, hat Damballa festgestellt, dass auf mobilen Geräten etwas sehr Merkwürdiges passiert ist.

Verfolgung von böswilligem Datenverkehr

Damballas Geschäft ist die automatisierte Abwehr von Sicherheitsverletzungen, die auf Big-Data-Analysen basiert. Während der Zusammenarbeit mit einem großen US-Mobilfunkanbieter konnte Damballa Verkehrsdaten mit bekannten schädlichen URLs vergleichen, die aus rund 70.000 mobilen Malware-Beispielen extrahiert wurden. "Es war ein manueller Prozess, die allgemeinen Domänen zu entfernen, die wahrscheinlich nicht mit Malware verbunden sind", erklärte Charles Lever, Senior Scientific Researcher. "Es war schmerzhaft."

Bei ihren Nachforschungen sagte Lever, Damballa habe keinen Zugriff auf die Nutzdaten dieser Übertragungen, sondern nur auf die URLs. Das Unternehmen machte deutlich, dass es keine Einsicht in Kundendaten hatte.

Der Umfang der Studie von Damballa ist enorm und konzentriert sich auf rund 151 Millionen Geräte pro Tag, verglichen mit 25 Millionen, als das Unternehmen die Studie 2012 durchführte In diesen Fällen hat das Unternehmen nur 9.688 Geräte gesehen, die auf URLs zugegriffen haben, die mit mobiler Malware in Verbindung stehen.

Das bedeutet, dass 0, 0064 Prozent des Datenverkehrs böswillig sind. In der Pressemitteilung des Unternehmens sagte Damballa, dass die offiziellen Chancen der National Weather Services, vom Blitz getroffen zu werden, mit 1, 3 Prozent deutlich höher seien.

Sicherer Hafen

Lever sagte, dass die Schlussfolgerungen der Studie die Vorstellung stützten, dass mobile Malware in Sicherheitskreisen (und von diesem Autor) viel diskutiert wurde. "Wir finden viele Malware-Beispiele, aber ich bin nicht sicher, ob diese Beispiele auf ihre Geräte gelangen", sagte Lever.

"Wir haben starke Erstanbieter-Märkte in den USA", fuhr Lever fort und verwies auf den Apple App Store und den Google Play Store. Er sagte, dass diese Geschäfte gute Sicherheitsmaßnahmen haben, die die schlimmsten Akteure ferngehalten haben, und Tools enthalten, mit denen Apple und Google aus der Ferne bösartige Apps deaktivieren oder entfernen können, die ihren Weg auf die Benutzergeräte finden könnten.

Natürlich hat Damballas Studie Grenzen. Es konzentriert sich beispielsweise auf potenziell böswilligen Netzwerkverkehr und nicht auf tatsächliche böswillige Installationen auf Mobilgeräten. Es deckt auch nur die Hälfte der USA ab, was einen Großteil der Welt unberücksichtigt lässt. Lever sagte, dass es möglich ist, dass mobile Malware-Infektionen außerhalb der USA viel höher sind. "Ich könnte es höher sehen, aber das kann ich nicht empirisch sagen", sagte Lever.

Interessanterweise wird der größte Teil des von Damballa beobachteten schädlichen mobilen Verkehrs als Adware bezeichnet.

Schattenhafter Verkehr

Aber während mobile Malware in Damballas Studie keine große Rolle spielte, tat es etwas anderes. Zusätzlich zu dem mit mobiler Malware verbundenen Datenverkehr erklärte Lever, dass Damballa auch Anfragen von mobilen Geräten an andere Arten von schädlicher Infrastruktur nachverfolgte. Dies kann eine Infrastruktur für Desktop-Malware, Phishing-Vorgänge, Botnets usw. sein. Diese Anfragen von Mobilgeräten an schattige Teile des Internets waren laut Lever deutlich höher als Anfragen an mobile Malware-URLs.

Wie viel größer? Um mehrere Größenordnungen. Damballa meldete 100.000 Anfragen im Zusammenhang mit mobiler Malware, die auf etwa 10.000 Geräte zurückgeführt wurden. Es verfolgte 100 Millionen Anfragen an Websites, bei denen es sich anscheinend um Driveby-Downloads handelte, und 1 Milliarde (mit einem "b!") Anfragen im Zusammenhang mit Malware, die auf den Desktop abzielt. Auch diese Anfragen kommen alle von Mobilgeräten.

Obwohl diese zwielichtigen Anforderungen von Mobilgeräten "erheblich größer sind als die von mobiler Malware", ist ihre Ursache weitgehend unbekannt.

Lever vermutete, dass ein Teil des Datenverkehrs von mobilen Nutzern stammen könnte, die Opfer von Phishing-Websites wurden. Andere Sicherheitsexperten haben vorgeschlagen, dass Phishing auf Mobilgeräten möglicherweise einfacher ist, da der vergleichsweise kleine Bildschirm verdächtig aussehende URLs abschneidet und das mit einer SSL-Verbindung verknüpfte Schlosssymbol nicht sichtbar ist.

Während des gesamten Gesprächs blieb Lever in Bezug auf die mobile Sicherheit größtenteils optimistisch, doch als er diese ungewöhnlichen Ergebnisse diskutierte, nahm er eine ausgesprochen negative Wendung. Er sagte, dass, während das, was diese enorme Menge verdächtigen Netzwerkverkehrs verursachte, heute kein Problem sein könnte, es in Zukunft sein könnte. Oder es kann sogar das Ergebnis derzeit unbekannter bösartiger Anwendungen sein.

• Android 4.1.1 ist immer noch anfällig für Heartbleed Android 4.1.1 ist immer noch anfällig für Heartbleed
• Schädliche Android-Apps können Gmail hacken Schädliche Android-Apps können Gmail hacken
• Mobile Threat Monday: Android-Apps verstecken Windows-Malware Mobile Threat Monday: Android-Apps verstecken Windows-Malware

"Es ist ein großes Risikogebiet, das derzeit nicht gut erforscht ist und das genauer untersucht werden könnte, um herauszufinden, was dies ist", sagte Lever. "Handelt es sich um Phishing? Handelt es sich um Spam? Was ist die Aufschlüsselung? Und wie viel davon betrifft derzeit mobile Geräte und wie viel könnte in Zukunft davon betroffen sein?"

Hoffentlich kann die zukünftige Forschung dieses Rätsel lösen.