Wer ein Smartphone nutzt, kann sich schädliche Software einfangen. Die häufigste Kategorie waren im zweiten Quartal 2021 laut der Sicherheitsfirma Kaspersky Apps, die schädliche Funktionen ausführen, beispielsweise Daten löschen, blockieren oder kopieren (Riskware, 38 Prozent). An zweiter Stelle standen Apps, die exzessiv Werbung schalten (Adware, 34 Prozent), an dritter Trojaner mit unterschiedlichen Funktionen.
Schadprogramme können zum Beispiel Banking-Apps angreifen und damit Geld stehlen oder Nutzerdaten verschlüsseln und für die Entschlüsselung Lösegeld verlangen. Andere lesen persönliche Informationen aus, versenden SMS- oder E-Mail-Spam, klicken im Hintergrund auf Werbung oder löschen einfach Daten. Die verschiedenen Funktionen kommen auch oft in Kombination vor.
Die Übergänge zwischen Schadprogrammen und regulären Programmen, die tricksen oder einfach nur nerven, sind dabei fließend. Eine gefälschte App, die sich etwa als kostenpflichtige Premium-Version einer bekannten Gratis-App ausgibt, muss keine Schadsoftware enthalten, wurde aber trotzdem in betrügerischer Absicht entwickelt.
Wie groß ist das Problem?
Wie groß die Gefahr durch Schadprogramme auf dem Handy wirklich ist, wird unter Fachleuten kontrovers diskutiert. Die vorliegenden Statistiken zum Thema stammen von Firmen, die Sicherheitssoftware herstellen und verkaufen, zum Beispiel von der IT-Sicherheitsfirma Kaspersky. Sie können als Orientierung dienen, stammen aber nicht aus unabhängiger Quelle.
In der Tendenz zeigt sich dabei, dass die Zahl der Smartphone-Infektionen mit Schadprogrammen in Deutschland zwischen 2016 und 2020 stetig sank.
Bis 2016 hatte die Zahl kontinuierlich zugenommen. So stellte Kaspersky im ersten Quartal 2019 bei 3,5 Prozent aller deutschen Nutzer*innen einen Infektionsversuch mit einem Schadprogramm fest. Im zweiten Quartal 2016 waren es noch etwas über acht Prozent. Dies ist damit zu erklären, dass die hauseigenen Sicherheitsvorkehrungen von Google und Apple inzwischen wirksamer sind und Schadprogramme zuverlässiger von Smartphones fernhalten.
Googles Betriebssystem Android ist sehr viel stärker von Schadprogrammen betroffen als Apples iOS: Über 99 Prozent der gefundenen Malware für Mobilgeräte greifen Android-Geräte an, wie ein Bericht des Sicherheitssoftware-Herstellers F-Secure von 2017 feststellte.
Verglichen mit Computern ist die Zahl der Schadprogramme bei Smartphones dennoch gering. So zielten laut Security-Report 2017/18 des Antiviren-Testers AV-Test 67 Prozent aller gefundenen Schadprogramme auf Windows-Computer, nur 6,5 Prozent auf Android-Geräte.
Schadprogramme auf Android
Das Android-System ist so konzipiert, dass Programme nicht einfach so aufs Handy gelangen können. Um ein Schadprogramm auf sein Handy zu bekommen, muss man es selbst installieren. Kriminelle lassen sich viele Tricks einfallen, um Nutzer*innen zu diesem Schritt zu bringen. Der häufigste Weg sind dabei Apps, die sich als etwas anderes ausgeben, in denen sich aber Schadprogramme verbergen.
Getarnte Schadprogramme tauchen regelmäßig in Googles Play-Store auf. Allerdings werden sie dort meist schnell wieder entfernt. Trotzdem gilt auch dort: Ein paar Eckdaten sollte man über eine App in Erfahrung bringen, bevor man sie installiert – besonders, wenn sie Erstaunliches verspricht.
Viel häufiger versuchen Kriminelle allerdings, ihre Opfer in andere App-Stores zu locken, oder sie dazu zu bringen, die App direkt als Datei herunterzuladen und zu installieren. Wenn Sie sich außerhalb des Play-Stores bewegen und vor allem, wenn Sie Apps direkt als .apk-Datei installieren, sollten Sie auf jeden Fall vorher recherchieren, ob sie aus vertrauenswürdiger Quelle Informationen darüber finden.
In seltenen Fällen kann es aufgrund von Sicherheitslücken auch Wege geben, auf denen ein Schadprogramm sich ohne Zutun der Nutzer*innen installieren kann. Solche Lücken sind sehr wertvoll und werden in der Regel von professionellen Hackern für gezielte Angriffe genutzt (siehe unten).
In der Vergangenheit wurden außerdem wenige Fälle bekannt, in denen Schadprogramme auf neuen Handys schon vorinstalliert waren, zum Beispiel 2017 bei Geräten der chinesischen Hersteller Leagoo und Nomu und 2019 bei Geräten von Dogee, Keecoo, M-Horse und VKWorld (siehe Warnung des Bundesamt für Sicherheit in der Informationstechnik, BSI).
Schadprogramme auf iPhones
Das mobile Betriebssystem von Apple, iOS, gilt als ziemlich sicher. Schadprogramme kommen so gut wie gar nicht vor. 2015 wurde zum ersten Mal ein größerer Befall mit Schadprogrammen in Apples eigenem App-Store bekannt. Apple entfernte 256 Apps aus dem Store, weil diese heimlich Nutzerdaten abgriffen. Seither ist kein vergleichbarer Fall aufgetreten.
Ein beliebter Weg, Schadprogramme am App-Store vorbei auf iOS-Geräte zu bringen, führt über sogenannte Firmenzertifikate. Firmen können bei Apple eigene Zertifikate beantragen, um zum Beispiel firmeneigene Apps auf die Diensthandys ihrer Mitarbeiter zu laden. Solche Zertifikate sind relativ leicht zu bekommen und offenbar gibt es einen regen Handel damit, den Apple bislang nicht in den Griff bekommen hat.
Allerdings müssen Angreifer*innen bei dieser Methode die Zielperson dazu bringen, das Firmenzertifikat manuell zu akzeptieren. Wenn Ihr iPhone Sie unerwartet zum Installieren unbekannter Zertifikate auffordert, sollten Sie also aufmerksam werden.
Brauche ich einen Virenscanner?
Die Hersteller der mobilen Betriebssysteme, Apple und Google, bieten Sicherheitsfunktionen, die Schadsoftware recht zuverlässig erkennen.
Apple überprüft Apps nach eigenen Angaben bereits vor der Aufnahme in den App-Store sorgfältig technisch auf schädliche Funktionen. Aus anderen Quellen als dem App Store kann man iPhone-Apps nicht installieren. Apple nimmt so genannte Virenscanner anderer Firmen daher gar nicht erst in seinen Store auf – die eigenen Maßnahmen reichen nach Einschätzung der Firma aus.
Bei der Aufnahme in den Google Play-Store durchlaufen Apps ebenfalls einen technischen Prüfprozess, außerdem gibt es auf Android seit 2017 den hauseigenen Scanner Google Play Protect. Die Funktion ist Teil der Google-Play-Store-App und prüft jede App bei der Installation auf dem Smartphone sowie regelmäßig im späteren Betrieb.
Darüber hinaus lässt Google Apps bekannter IT-Sicherheitsfirmen wie Avast, Norton oder Kaspersky in seinem Play-Store zu. Sie sind in der Regel als Virenscanner oder Antivirus-Apps deklariert. Viren gibt es auf dem Smartphone streng genommen gar nicht – der Begriff stammt aus der Computerwelt und bezeichnet schädliche Software, die sich selbst reproduziert und so das gesamte System befallen kann. Dennoch bieten diese Scanner Funktionen, die auf Smartphones in speziellen Fällen hilfreich sein können. Beispielsweise erkennen sie manchmal bösartige Programme wie Stalkerware, die Googles hauseigener Scanner Play Protect nicht findet.
Durchschnittliche Nutzer*innen, die Apps ausschließlich aus etablierten App Stores wie dem Google Play-Store, F-Droid oder Apples App Store installieren und ihr Smartphone nie aus der Hand geben, benötigen aus unserer Sicht keine zusätzlichen Virenscanner. Wer auf Android jedoch häufig Apps aus anderen Quellen herunterlädt, beispielsweise von Webseiten, kann sicherheitshalber ein zusätzliches Programm installieren.
Grundsätzlich gilt: Sie können selbst viel dafür tun, dass Ihr Gerät sicher bleibt. Sie entscheiden, was Sie installieren, auf welche Links Sie klicken und welche Geräte Sie mit ihrem Telefon verbinden.
Arten von Schadprogrammen
Professionelle Schadprogramme: Pegasus und Co.
Auch Anbieter von professioneller Spionage-Software stellen im Prinzip nichts anderes her als Schadprogramme. Sie verkaufen Software, mit der sich sowohl Android-Geräte als auch iPhones hacken lassen. Auch Geheimdienste oder Polizeibehörden kaufen solche Programme.
2021 wurde bekannt, dass mit dem Spionageprogramm Pegasus der israelischen Firma NSO-Group zahlreiche Android-Geräte und iPhones führender Politiker*innen, Journalist*innen und Aktivist*innen ausspioniert wurden. Dazu genügte die Kenntnis der Telefonnummer, die Software arbeitete unbemerkt im Hintergrund und leitete sämtliche Inhalte an die Spione weiter.
Im Mai 2019 tauchte auf dem Handy eines Menschenrechtsaktivisten ein Schadprogramm auf, das Handys per WhatsApp-Anruf infizieren konnte. Hersteller war vermutlich ebenfalls die NSO-Group.
Zumeist basiert solche Software auf Schwachstellen in Betriebssystemen oder Apps, die bisher noch nicht geschlossen wurden. Hersteller von Spionage-Software bezahlen viel Geld, um von ihnen zu erfahren.
Ein bekannter IT-Sicherheitshersteller, Zerodium, bietet derzeit für eine Schwachstelle in iOS bis zu zwei Millionen Dollar, für eine Schwachstelle in WhatsApp bis zu eine Million Dollar (Stand Juni 2019).
Wer eine solche Sicherheitslücke findet, hat damit immer einen Anreiz, die Information zu verkaufen, anstatt sie dem Hersteller zu melden, damit dieser sie schließen kann. Auch Regierungen, die solche Produkte für Überwachungsmethoden kaufen oder entwickeln, heizen diesen Handel mit Informationen zu Schwachstellen an.
Einige der Lücken und Schwachstellen, die solchen Programmen zugrundeliegen, wurden mittlerweile geschlossen. Es ist aber davon auszugehen, dass es noch viele weitere gibt und neue gefunden werden.
Schadprogramme in App-Bausteinen
Im Sommer 2017 entdeckten Forscher*innen rund 500 Apps in Googles Play-Store, in denen sich ein Schadprogramm verbarg. Das Besondere: Die Entwickler dieser Apps wussten wohl nichts davon, dass ihre App infiziert war. Sie hatten lediglich einen vorgefertigten Programmbaustein in ihre App eingebaut, um Werbung von einem Werbenetzwerk zu integrieren.
Solche Bausteine, auch Module genannt, sind sehr häufig in Apps integriert. Einige Module des chinesischen Werbenetzwerkes Igexin allerdings waren bösartig. Sie nahmen nach einiger Zeit Kontakt zu einem Server auf und luden von dort ein Schadprogramm nach. Dieses wiederum war in der Lage, Nutzerdaten vom Gerät abzugreifen.
Google entfernte die betroffenen Apps umgehend. Der Fall zeigt aber: Auch seriöse Apps können betroffen sein, wenn sie Module einbauen, deren genaue Funktion sie nicht kennen.
Vorsicht vor Phishing
Schadprogramme werden oft auch über klassische Phishing-Methoden verbreitet: Sie bekommen eine Nachricht von jemandem zugesendet, der sich zum Beispiel als Ihre Bank oder ein Paketdienst ausgibt.
In der Nachricht ist ein Link, der Sie dann zu einer präparierten Webseite führt. Dort könnte dann eine Schad-App zum Download angeboten werden. Anfang 2021 verbreitete sich der Trojaner Flubot, der per SMS-Link geladen wurde und auf dem Smartphone beispielsweise Bankdaten abgreifen konnte.
Daher gilt auch beim Handy: Klicken Sie nicht auf Links, die Sie in unaufgefordert zugesandten Mails, SMS oder WhatsApp-Nachrichten bekommen. Haben Sie bereits draufgeklickt, dann geben Sie anschließend keine Daten ein und laden Sie auf keinen Fall etwas von der Zielseite herunter.