Schadprogramme

Schadprogramme auf dem Handy: Was Sie darüber wissen sollten

Ein Artikel von , veröffentlicht am 04.06.2015, bearbeitet am12.06.2019
Grafik: Beate Autering

Trojaner, Würmer, oder einfach Schadprogramme – es gibt sie längst auch bei Smartphones und Tablets. Aber wie groß ist das Problem wirklich? Was machen solche Schadprogramme und wie fängt man sie sich ein? Wir geben einen Überblick.

Gibt es Viren auf dem Smartphone?

Genau genommen ist die Antwort nein. Denn mit "Viren" sind Programme gemeint, die sich selbst in verschiedene Dateien des befallenen Gerätes kopieren. Dadurch können sie ihre Schadwirkung auf das ganze System ausbreiten. Solche Programme gibt es nicht auf Smartphones.

Es gibt aber andere Arten von Schadprogrammen, zum Beispiel so genannte Trojaner. Darunter versteht man Schadprogramme, die sich als harmlose App tarnen. Auf dem Gerät üben sie dann schädliche Funktionen aus. Sie können sich aber nicht von selbst vermehren.

Wie groß die Gefahr durch Schadprogramme auf dem Handy wirklich ist, wird unter Fachleuten kontrovers diskutiert. Die vorliegenden Statistiken zum Thema stammen von Firmen, die Sicherheitssoftware herstellen und verkaufen. Sie kommen damit nicht gerade aus einer unabhängigen Quelle.

Auch viele Berater, Experten und Medien profitieren vom Thema Sicherheit und verbreiten Nachrichten über echte oder vermeintliche Bedrohungen darum gerne.

In der Tendenz hat die Zahl der Smartphone-Infektionen mit Schadprogrammen in Deutschland bis 2016 kontinuierlich zugenommen. Seit 2016 stagniert die Zahl offenbar oder nimmt sogar ab.

So stellte der Hersteller von Antiviren-Software Kaspersky im ersten Quartal 2019 bei 3,5 Prozent aller deutschen Nutzer*innen einen Infektionsversuch mit einem Schadprogramm fest. Im zweiten Quartal 2016 waren es noch mehr als acht Prozent.

Die Angriffe werden allerdings professioneller. Mit den Lösegeldprogrammen (englisch Ransomware) ist 2016 eine ganz neue Angriffsart hinzugekommen. Dabei werden alle Daten auf dem betroffenen Gerät durch eine schädliche Software verschlüsselt. Nutzer*innen sollen dann Geld bezahlen, damit die Daten wieder entschlüsselt werden.

Verglichen mit Computern ist die Zahl der Schadprogramme bei Smartphones dennoch gering. So zielten laut Security-Report 2017/18 des Antiviren-Testers AV-Test 67 Prozent aller gefundenen Schadprogramme auf Windows-Computer, nur 6,5 Prozent auf Android-Geräte.

Durch einige einfache Einstellungen können Sie sich vor den meisten Angriffen schützen. Wie das geht, erklären wir im Ratgeber Infektionen vorbeugen.

Sind auch iPhones betroffen?

Hauptsächlich ist Googles Betriebssystem Android von Schadprogrammen betroffen. Über 99 Prozent der gefundenen Malware für Mobilgeräte greifen Android-Geräte an, wie ein Bericht des Sicherheitssoftware-Herstellers F-Secure von 2017 feststellte.

iOS, das Betriebssystem von Apple, gilt als ziemlich sicher. Im Oktober 2015 wurde zum ersten Mal ein größerer Befall mit Schadprogrammen in Apples eigenem App-Store bekannt. Apple entfernte 256 Apps aus dem Store, weil diese Nutzerdaten ausspionierten. Bis dahin galt der App-Store als fast vollständig frei von Schadprogrammen. Seither ist kein vergleichbarer Fall aufgetreten.

Ein beliebter Weg, Schadprogramme am App-Store vorbei auf iOS-Geräte zu bringen, geht über sogenannte Firmenzertifikate. Firmen können bei Apple eigene Zertifikate beantragen, um zum Beispiel firmeneigene Apps auf die Diensthandys ihrer Mitarbeiter zu laden. Solche Zertifikate sind relativ leicht zu bekommen und offenbar gibt es einen regen Handel damit, den Apple bislang nicht in den Griff bekommt.

Allerdings müssen der Angreifer*innen bei dieser Methode die Zielperson dazu bringen, das Firmenzertifikat manuell zu akzeptieren. Wenn Ihr iPhone Sie unerwartet zum Installieren unbekannter Zertifikate auffordert, sollten Sie also aufmerksam werden.

Professionelle Schadprogramme

Auch Hersteller von professioneller Spionage-Software stellen im Prinzip nichts anders her als Schadprogramme. Sie verkaufen Software, mit denen sich sowohl Android-Geräte als auch iPhones hacken lassen. Ihre Kunden sind auch Geheimdienste oder Polizeibehörden.

Mit dem Spionageprogramm Pegasus der israelischen Firma NSO-Group wurde Mitte 2016 eine Software gefunden, die ein iPhone alleine durch den Besuch einer präparierten Webseite infizieren konnte. Kostenpunkt pro Gerät: rund 25.000 Dollar.

Im Mai 2019 tauchte auf dem Handy eines Menschenrechtsaktivisten ein Schadprogramm auf, das Handys (iOS und Android) per WhatsApp-Anruf infizieren konnte. Herstellerin war vermutlich ebenfalls die NSO-Group.

Diese Lücken wurden mittlerweile geschlossen. Es ist aber davon auszugehen, dass es noch viele weitere gibt und neue gefunden werden. Das Problem: Diese Profi-Produkte nutzen noch unbekannte Schwachstellen in Apps oder Betriebssystemen aus. Hersteller von Spionage-Software bezahlen viel Geld für Informationen zu solchen noch unbekannten Schwachstellen.

Ein bekannter Hersteller, Zerodium, bietet derzeit für eine Schwachstelle in iOS bis zu zwei Millionen Dollar, für eine Schwachstelle in WhatsApp bis zu eine Millionen Dollar (Stand Juni 2019).

Wer eine Schwachstelle findet, hat damit einen Anreiz, die Information zu verkaufen, anstatt sie dem Hersteller zu melden, damit dieser sie schließen kann. Auch Regierungen, die zur Überwachung solche Produkte kaufen oder entwickeln, heizen diesen Handel mit Informationen zu Schwachstellen an.

Wie kommen Schadprogramme auf das Handy?

Android und iOS sind so konzipiert, dass sich Programme nicht von selbst installieren können. Um ein Schadprogramm auf das Handy zu bekommen, muss man es also selbst installieren.

Kriminelle lassen sich viele Tricks einfallen, um Nutzer*innen zu diesem Schritt zu motivieren. Der häufigste Weg ist dabei, dass man sich eine App installiert, die sich als etwas Anderes ausgibt, in der sich aber ein Schadprogramm verbirgt.

Häufig locken dabei Angebote wie etwa Gratisspiele, die im offiziellen Store kostenpflichtig sind oder Spielanleitungen, um schneller durch die Level zu kommen. Auch angebliche Sicherheits- oder Optimierungs-Apps für das Smartphone und erotische Angebote sind beliebte Lockvögel.

Manchmal geben sich Schadprogramme auch nicht als App aus, sondern als Sicherheitszertifikat, als Update oder als Adobe Flash-Player.

Natürlich kann es aufgrund von Sicherheitslücken auch Wege geben, auf denen ein Schadprogramm sich ohne Zutun der Nutzer*innen installieren kann. Solche Lücken sind sehr wertvoll und werden in der Regel von professionellen Hackern für gezielte Angriffe genutzt (siehe vorheriger Abschnitt).

In einzelnen Fällen kommen Schadprogramme schon vorinstalliert mit dem Handy. Entsprechende Fälle gab es 2017 bei Geräten der chinesischen Hersteller Leagoo und Nomu und 2019 bei Geräten von Dogee, Keecoo, M-Horse und VKWorld (vgl.Warnung des Bundesamt für Sicherheit in der Informationstechnik, BSI).

Wie Sie erkennen, ob eine App seriös ist, erfahren Sie in unserer Checkliste Apps richtig beurteilen.

Schadprogramme in App-Bausteinen

Im Sommer 2017 entdeckten Forscher rund 500 Apps in Googles Play-Store, in denen sich ein Schadprogramm verbarg. Das Besondere an dem Fall: Die Entwickler dieser Apps wussten wohl nichts davon, dass ihre App infiziert war. Sie hatten lediglich einen vorgefertigten Programmbaustein in ihre App eingebaut, um Werbung von einem Werbenetzwerk zu integrieren.

Solche Bausteine, auch Module genannt, sind sehr häufig in Apps integriert. Einige Module des chinesischen Werbenetzwerkes Igexin allerdings waren bösartig. Sie nahmen nach einiger Zeit Kontakt zu einem Server auf und luden von dort ein Schadprogramm nach. Dieses wiederum war in der Lage, Nutzerdaten vom Gerät auszuspionieren.

Google entfernte die betroffenen Apps umgehend. Der Fall zeigt aber: Auch seriöse Apps können betroffen sein, wenn sie Module einbauen, deren genaue Funktion sie nicht kennen.

Was Module in Apps sind, warum sie ein Problem sein können und was das mit Werbung zu tun hat, erklären wir im Beitrag App-Tracking: Was sind Module in Apps?

Schadprogramme in App-Stores und auf Webseiten

Getarnte Schadprogramme tauchen auch regelmäßig in Googles Play-Store auf. Allerdings werden sie dort meist schnell wieder entfernt. Trotzdem gilt auch für den Play-Store: Ein paar Eckdaten sollte man über eine App in Erfahrung bringen, bevor man sie installiert – besonders, wenn sie Erstaunliches verspricht.

Viel häufiger versuchen Kriminelle allerdings, Ihre Opfer in andere App-Stores zu locken, oder sie dazu zu bringen, die App direkt als Datei herunterzuladen und zu installieren. Wenn Sie sich außerhalb des Play-Stores bewegen und vor allem, wenn Sie Apps direkt als .apk-Datei installieren, sollten Sie auf jeden Fall vorher recherchieren, ob sie aus vertrauenswürdiger Quelle Informationen darüber finden.

Nicht alle App-Stores außerhalb der Google-Welt sind gefährlich. Empfehlenswert ist zum Beispiel der alternative Store F-Droid, der ausschließlich quelloffene und kostenlose Apps im Angebot hat. Mehr dazu in unserem Beitrag F-Droid: Verbraucherfreundlicher App-Store für Android.

Achtung Phishing

Schadprogramme werden oft auch über klassische Phishing-Methoden verbreitet. Das bedeutet: Sie bekommen eine Nachricht von einem Absender zugesendet, der sich zum Beispiel als "Ihre Bank" ausgibt.

In der Nachricht ist ein Link, der Sie dann zu einer präparierten Webseite führt. Dort könnte dann eine Schad-App zum Download angeboten werden, die sich zum Beispiel als "Sicherheitszertifikat" ausgibt.

Daher gilt auch beim Handy: Klicken Sie nicht auf Links, die Sie in unaufgefordert zugesandten Mails, SMS oder WhatsApp-Nachrichten bekommen. Sollten Sie doch darauf klicken, dann laden Sie auf keinen Fall etwas von der Zielseite herunter.

Infizierte Webseiten können Sie noch durch andere Tricks so täuschen, dass Sie sich aus Versehen ein Schadprogramm installieren. Zum Beispiel mit dem "Systemmeldung"-Trick. Insofern sollten Sie auch mit dem Smartphone zwielichtige Seiten vermeiden.

Was machen Schadprogramme?

Die häufigsten Kategorien im ersten Quartal 2019 sind laut dem Quartalsbericht der Sicherheitsfirma Kaspersky Apps, die andere Apps nachladen ("Dropper", 25 Prozent), die exzessiv Werbung schalten (17 Prozent) und die SMS an kostenpflichtige Nummern schicken (7 Prozent).

Einige Schadprogramme können Banking-Apps oder Online-Bezahldienste wie PayPal angreifen und damit Geld direkt vom Konto holen (3,2 Prozent) oder Nutzerdaten verschlüsseln und für die Entschlüsselung Lösegeld verlangen (3 Prozent).

Viele Schadprogramme lesen auch persönliche Informationen aus, versenden E-Mail-Spam, klicken im Hintergrund auf Werbung oder löschen einfach Daten. Die verschiedenen Funktionen kommen auch oft in Kombination vor.

Die Übergänge zwischen Schadprogrammen und regulären Programmen, die tricksen oder einfach nur nerven, sind außerdem fließend. Eine gefälschte App, die sich als kostenpflichtige Premium-Version einer bekannten Gratis-App ausgibt, muss keine Schadsoftware enthalten. Trotzdem wurde sie mit betrügerischer Absicht entwickelt.

Was es damit auf sich hat, erklären wir im Kurzratgeber Gefälschte Apps.

Brauche ich einen Virenscanner?

Für alle Infektionen mit Schadsoftware gilt: Sie können selbst viel dafür tun, dass Ihr Gerät sicher bleibt. Sie entscheiden, was Sie installieren, auf welche Links Sie klicken und welche Geräte Sie an ihr Telefon anschließen.

Sicherheits-Apps, die vor Schadprogrammen auf dem Smartphone schützen sollen, sind inzwischen von vielen Anbietern verfügbar. Ihr Nutzen ist aber umstritten.

Für normale Nutzer*innen sehen wir keinen Grund, eine zusätzliche Sicherheits-App zu installieren. Wer viele Apps ausprobiert und sie auch außerhalb des Play-Stores herunterlädt, sollte über eine solche App nachdenken.

Sicherheits-Apps funktionieren auf Smartphones nur eingeschränkt und brauchen weitreichende Zugriffsrechte. Vor- und Nachteile dieser Produkte diskutieren wir im Beitrag Sicherheitssoftware für Android-Geräte.
Viele dieser Maschen sind leicht zu durchschauen, wenn man sie vorher kennt. Die häufigsten stellen wir in unserem Themenpaket Diese Tricks und Maschen sollten Sie kennen vor.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Gute Vorsätze für 2018: Auswahl für Android-Nutzer

Sie wollten sich schon längst um die Sicherheit bei Ihrem Smartphone kümmern? Das neue Jahr ist ein guter Anlass. Wenn Sie nur eine unserer vier vorgeschlagenen Maßnahmen umsetzen, starten Sie deutlich sicherer ins Jahr 2018.

Mehr
Ratgeber 

Hard Reset: iPhone zurücksetzen trotz Sperrcode (iOS)

Ihr iPhone oder iPad reagiert auf nichts mehr oder Sie haben den PIN für die Displaysperre vergessen? Mit Hilfe von einem USB-Kabel und einem Computer lässt es sich in diesem Fall auf die Werkseinstellungen zurücksetzen. Achtung: Ihre Daten werden dabei gelöscht.

Mehr
Backup 

iCloud oder iTunes: iOS-Backup leicht gemacht

iPhone- und iPad-Nutzer können ihre Daten relativ einfach sichern – entweder über Apples Online-Dienst iCloud oder auf einem lokalem Computer über die iTunes-Software. Doch die beiden Varianten unterscheiden sich. Wir zeigen jeweils die Vor- und Nachteile der Backup-Varianten.

Mehr
YouTube-Video 

Bildschirmzeit als Kindersicherung: So geht’s (iPhone)

Mit der iOS-Version 12 hat Apple eine Funktion spendiert, mit der man die iPhone- oder iPad-Nutzung einschränken kann. Sie lässt sich auch als Kindersicherung einsetzen. Wie "Bildschirmzeit" funktioniert und welche Kritikpunkte es daran gibt, erklären wir im Video.

Ansehen