Auf Smartphones gibt es strenggenommen keine Viren, wie wir sie aus der Computerwelt kennen. Aber es gibt Apps, die Schaden anrichten.
Solche Schadprogramme können sich zum Beispiel als Banking-App ausgeben und deine Banking-Zugangsdaten stehlen oder Nutzerdaten verschlüsseln und für die Entschlüsselung Lösegeld verlangen. Andere lesen persönliche Informationen aus, versenden SMS- oder E-Mail-Spam, klicken im Hintergrund auf Werbung oder löschen einfach Daten. Die verschiedenen Funktionen kommen auch oft in Kombination vor.
Die Übergänge zwischen Schadprogrammen und regulären Programmen, die tricksen oder einfach nur nerven, sind dabei fließend. Eine gefälschte App, die sich etwa als kostenpflichtige Premium-Version einer bekannten Gratis-App ausgibt, muss keine Schadsoftware enthalten, wurde aber trotzdem in betrügerischer Absicht entwickelt.
Wie groß ist das Problem?
Wie groß die Gefahr durch Schadprogramme auf dem Handy wirklich ist, wird unter Fachleuten kontrovers diskutiert. Die regelmäßig veröffentlichten Statistiken zum Thema stammen von Firmen, die Sicherheitssoftware herstellen und verkaufen, zum Beispiel von der IT-Sicherheitsfirma Kaspersky. Sie können als Orientierung dienen, sind aber nicht wirklich unabhängig.
Im Trend zeigen diese Zahlen, dass die Häufigkeit von Schadprogrammen regional stark schwankt. Der letzte Report der Firma Kaspersky, der dazu Zahlen veröffentlicht, stammt von 2022. Dort stand China mit 17,7 Prozent und Syrien mit 15,6 Prozent an der Spitze (Anteil der Kaspersky-Nutzer*innen mit Schadprogramm-Infektionen an der Gesamtzahl der Nutzer*innen in diesem Land). Deutschland rangiert zusammen mit den meisten anderen westlichen Ländern bei unter fünf Prozent.
Weiterhin zeigt sich, dass die Zahl der Infektionen insgesamt keineswegs kontinuierlich zunimmt sondern eher sinkt - mit temporären Ausschlägen nach oben. Die am häufigsten gefundene Gattung ist Adware, also Apps, die übermäßig Werbung einblenden (über 40 Prozent in 2023).
Googles Betriebssystem Android ist sehr viel stärker von Schadprogrammen betroffen als Apples iOS: Über 99 Prozent der gefundenen Malware für Mobilgeräte greifen Android-Geräte an, wie ein Bericht des Sicherheitssoftware-Herstellers F-Secure von 2017 feststellte.
Schadprogramme auf Android
Das Android-System ist so konzipiert, dass Programme nicht einfach so aufs Handy gelangen können. Um ein Schadprogramm auf sein Handy zu bekommen, muss man es selbst installieren. Kriminelle lassen sich viele Tricks einfallen, um Nutzer*innen zu diesem Schritt zu bringen. Der häufigste Weg sind dabei Apps, die sich als etwas anderes ausgeben, in denen sich aber Schadprogramme verbergen.
Schadprogramme tauchen nach wie vor regelmäßig in Googles Playstore auf. Eine kleine Übersicht für 2023 gibt es hier von Kaspersky. Aus diesem Grund gilt auch beim Playstore: Ein paar Eckdaten sollte man über eine App in Erfahrung bringen, bevor man sie installiert – besonders, wenn sie Erstaunliches verspricht.
Häufig versuchen Kriminelle, ihre Opfer in andere App-Stores zu locken, oder sie dazu zu bringen, die App direkt als Datei von einer Webseite herunterzuladen und zu installieren. Wenn du dich außerhalb des Playstores bewegest und vor allem, wenn du Apps direkt als .apk-Datei installierst, solltest du auf jeden Fall vorher recherchieren, ob du aus vertrauenswürdiger Quelle Informationen darüber findest.
In seltenen Fällen kann es aufgrund von Sicherheitslücken auch Wege geben, auf denen ein Schadprogramm sich ohne dein Zutun installieren kann. Solche Lücken sind sehr wertvoll und werden in der Regel von professionellen Hackern für gezielte Angriffe genutzt (siehe unten).
Schadprogramme auf iPhones
Das mobile Betriebssystem von Apple, iOS, gilt als ziemlich sicher. Schadprogramme kommen so gut wie gar nicht vor. 2015 wurde zum ersten Mal ein größerer Befall mit Schadprogrammen in Apples eigenem App-Store bekannt. Apple entfernte 256 Apps aus dem Store, weil diese heimlich Nutzerdaten abgriffen. Seither ist kein vergleichbarer Fall aufgetreten.
Ein beliebter Weg, Schadprogramme am App-Store vorbei auf iOS-Geräte zu bringen, führt über sogenannte Firmenzertifikate. Firmen können bei Apple eigene Zertifikate beantragen, um zum Beispiel firmeneigene Apps auf die Diensthandys ihrer Mitarbeiter zu laden. Solche Zertifikate sind relativ leicht zu bekommen und offenbar gibt es einen regen Handel damit, den Apple bislang nicht in den Griff bekommen hat.
Allerdings müssen Angreifer*innen bei dieser Methode die Zielperson dazu bringen, das Firmenzertifikat manuell zu akzeptieren. Wenn dein iPhone dich unerwartet zum Installieren unbekannter Zertifikate auffordert, solltest du also aufmerksam werden.
Brauche ich einen Virenscanner?
Die Hersteller der mobilen Betriebssysteme, Apple und Google, bieten Sicherheitsfunktionen, die Schadsoftware recht zuverlässig erkennen.
Apple überprüft Apps nach eigenen Angaben bereits vor der Aufnahme in den App-Store sorgfältig technisch auf schädliche Funktionen. Aus anderen Quellen als dem App Store kann man iPhone-Apps nicht installieren. Apple nimmt sogenannte Virenscanner anderer Firmen daher gar nicht erst in seinen Store auf – die eigenen Maßnahmen reichen nach Einschätzung der Firma aus.
Bei der Aufnahme in den Google Playstore durchlaufen Apps ebenfalls einen technischen Prüfprozess, außerdem gibt es auf Android seit 2017 den hauseigenen Scanner Google Play Protect. Die Funktion ist Teil der Google-Playstore-App und prüft jede App bei der Installation auf dem Smartphone sowie regelmäßig im späteren Betrieb.
Darüber hinaus lässt Google Apps bekannter IT-Sicherheitsfirmen wie Avast, Norton oder Kaspersky in seinem Playstore zu. Sie sind in der Regel als Virenscanner oder Antivirus-Apps deklariert. Diese Scanner bieten Funktionen, die auf Smartphones in speziellen Fällen hilfreich sein können. Beispielsweise erkennen sie manchmal bösartige Programme wie Stalkerware, die Googles hauseigener Scanner Play Protect nicht findet.
Wenn du deine Apps aus etablierten Quellen wie dem Google Playstore, F-Droid oder Apples App Store installierst und dein Smartphone nicht aus der Hand gibst, benötigst du aus unserer Sicht keinen zusätzlichen Virenscanner. Wer auf Android jedoch häufig Apps aus anderen Quellen herunterlädt, beispielsweise von Webseiten, kann sicherheitshalber ein zusätzliches Programm installieren.
Grundsätzlich gilt: Du kannst selbst viel dafür tun, dass dein Gerät sicher bleibt. Du entscheidest, was du installierst, auf welche Links du klickst und welche Geräte du mit dem Telefon verbindest.
Professionelle Schadprogramme: Pegasus und Co.
Auch Anbieter von professioneller Spionage-Software stellen im Prinzip nichts anderes her als Schadprogramme. Sie verkaufen Software, mit der sich sowohl Android-Geräte als auch iPhones hacken lassen. Auch Geheimdienste oder Polizeibehörden kaufen solche Programme.
Diese Software spielt in einer völlig anderen Liga, als die oben beschriebenen. Professionelle Schadprogramme können sehr wohl vollkommen unbemerkt und ohne dein Zutun auf das Smartphone kommen. Es gibt bislang keinen zuverlässigen Weg, sich dagegen zu schützen. Diese Programme werden allerdings nicht für Betrügereien eingesetzt, dafür sind die Kosten viel zu hoch. Betroffen sind häufig Journalist*innen, Aktivist*innen oder Oppositionelle in autoritären Staaten.
2021 wurde bekannt, dass mit dem Spionageprogramm Pegasus der israelischen Firma NSO-Group zahlreiche Android-Geräte und iPhones führender Politiker*innen, Journalist*innen und Aktivist*innen ausspioniert wurden. Dazu genügte die Kenntnis der Telefonnummer, die Software arbeitete unbemerkt im Hintergrund und leitete sämtliche Inhalte an die Spione weiter.
Im Mai 2019 tauchte auf dem Handy eines Menschenrechtsaktivisten ein Schadprogramm auf, das Handys per WhatsApp-Anruf infizieren konnte. Hersteller war vermutlich ebenfalls die NSO-Group.
Zumeist basiert solche Software auf Schwachstellen in Betriebssystemen oder Apps, die bisher noch nicht geschlossen wurden. Hersteller von Spionage-Software bezahlen viel Geld, um von ihnen zu erfahren.
Ein bekannter IT-Sicherheitshersteller, Zerodium, bietet für eine Schwachstelle in iOS bis zu zwei Millionen Dollar, für eine Schwachstelle in WhatsApp bis zu eine Million Dollar (Stand Juni 2019).
Wer eine solche Sicherheitslücke findet, hat damit immer einen Anreiz, die Information zu verkaufen, anstatt sie dem Hersteller zu melden, damit dieser sie schließen kann. Auch Regierungen, die solche Produkte für Überwachungsmethoden kaufen oder entwickeln, heizen diesen Handel mit Informationen zu Schwachstellen an.
Einige der Lücken und Schwachstellen, die solchen Programmen zugrundeliegen, wurden mittlerweile geschlossen. Es ist aber davon auszugehen, dass es noch viele weitere gibt und neue gefunden werden.
Kennst du schon unseren Newsletter? Einmal im Monat schicken wir dir aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung. Danke für deinen Besuch. Bevor du uns verlässt…
Folg uns doch auf Mastodon oder auf Instagram! Jede Woche Updates zu Smartphones und Umwelt aus der mobilsicher-Redaktion.