Google hat gestern erstaunlich schnell reagiert und wenige Minuten nach einem entsprechenden Hinweis zunächst 21 Apps aus dem Android-Market entfernt. Diese Apps verschafften sich Root-Rechte auf den betroffenen Geräten, sammelten Daten und installierten zum Teil Backdoors. Sie waren außerdem in der Lage, Code nachzuladen und zu installieren, am Benutzer vorbei.

Insgesamt gut 50.000 mal sollen die 21 Apps bis dahin installiert gewesen sein. Kurze Zeit später wurden über 30 weitere Apps gemeldet, meine Stichproben zeigen, dass diese inzwischen ebenfalls nicht mehr im Market verfügbar sind. Ob die Installationen per Kill-Switch von den Geräten entfernt werden, ist im Moment noch unbekannt.

Die komplette Liste der gefundenen Apps gibt es übrigens bei Android Police, die die Malware entdeckt und an Google gemeldet haben. In diesem Zusammenhang macht plötzlich auch die Übernahme von Zynamics durch Google mehr Sinn, die Bochumer sind auf Reverse Engineering zu Analysezwecken von Binär- und Bytecode spezialisiert.

Heute morgen im Office kam die Anfrage einer Kollegin, wer denn bei Avira eine Bestellung aufgegeben hätte. Eine Mail mit dem Betreff „Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten“ war angekommen und niemand konnte die Bestellung zuordnen. Ich hab mir die Mail daraufhin mal angeschaut und angesichts der Header-Informationen kamen bei mir Zweifel an der Echtheit auf. Kurze Zeit später dann die Info bei heise: Es ist so, wie ich vermutet hatte – die Mail ist ein Fake und der Anhang liefert ein trojanisches Pferd. Also ungeöffnet vernichten…

Inzwischen gibt es zu dieser Mail auch weiterführende Informationen von Avira selbst.

Seit Sonntagabend werden unter dem Betreff „Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten“ Emails versendet, die angeblich von Avira/Cleverbridge stammen!

Achtung: Im Anhang dieser Mail befindet sich eine ZIP-Datei, die einen Trojaner enthält. Diese Emails stammen nicht von Avira oder Cleverbridge und sollten unbedingt ohne den Anhang zu öffnen gelöscht werden. Der Trojaner wird als „TR/Dldr.iBill.AJ“ mit folgender VDF erkannt : vdf 6.38.01.19 / ivdf 6.38.01.21

Nach der Schwemme mit wasweißichwievielmillionen angeblichen Rechnungsmails von Single.de ist/sind deren Server seit gestern Abend offline. Ob die Server gezielt vom Netz genommen wurden oder aber aufgrund einer extrem angestiegenen Anzahl von Zugriffen einfach den Dienst verweigert haben ist im Augenblick unklar. Sicher ist nur eins: Sie sind seit mindestens 12h nicht mehr erreichbar.

An diesem Fall erkennt man wieder ziemlich deutlich, welchen Schaden derartige Mails auslösen können. Neben der unmittelbaren Auswirkung auf jeden einzelnen, der den Müll in seinem Postfach findet, wirkt sich so eine Lawine von Mails natürlich auch auf denjenigen aus, dessen Name missbraucht wurde. Da wäre zum einen der unmittelbare, messbare Schaden wie derzeit bei Single.de: out of order. Für x Stunden. Das kostet einen Anbieter irgendwelcher Dienste im Internet richtig Geld. Seien es entgangene Werbeeinnahmen, seien es mögliche zahlende Nutzer, die für einen Ausfall möglicherweise eine Rückerstattung verlangen, seien es die Techniker, die die Systeme wieder an den Start bringen müssen und natürlich auch bezahlt werden wollen.

Zum anderen ist da der nicht direkt messbare Schaden: Der Imageverlust. Auch wenn das Unternehmen oder ein bestimmter Service eines Unternehmens mit dem ganzen Vorfall nichts zu tun hatte und einfach nur der Name ins Konzept passte: Der Name wird im Gedächtnis der User bleiben. Im Zusammenhang mit Viren und Trojanischen Pferden. In ein paar Wochen/Monaten heisst es dann: „Single.de, das waren doch die mit den Trojanermails….von denen hatte ich auch 20 Stück…“.

In den letzten Tagen häufen sich bei mir wieder die Mails, die alle irgendwelche „Rechnungen“ im Anhang haben. Nach der Schwemme von angeblichen IKEA-Mails laufen bei mir nun täglich zig „Bestellbestätigungen“ von Amazon („Ihre Bestellung xxxxxxxx bei Amazon.de“, angebliche Bestätigungen einer kostenpflichtigen Mitgliedschaft bei single.de („Ihre konstenpflichtige Anmeldung bei www.single.de“ und „Konstenpflichtige Klubmitgliedschaft“), den dazugehörigen Lastschriften und Rechnungen, Quelle-Rechnungen („Ihre detaillierte Quelle Rechnung“) und sonstiger Müll ein. Allein heute wieder (bisher) 17 Stück.

Ehrlich gesagt frage ich mich, ob sich überhaupt noch irgend jemand Erfolg von dieser Methode verspricht. Schon allein aufgrund der Vielzahl der unterschiedlichsten Mails und der nun wirklich regelmäßigen ausführlichen Berichterstattung in allen möglichen Medien müsste doch inzwischen selbst der größte DAU eins begriffen habe: Öffne niemals einen x-beliebigen Dateianhang. Und auch das sollte (eigentlich) inzwischen jeder festgestellt haben: Kein Unternehmen und keine Behörde versendet Rechnungen oder Mahnungen oder Bestätigungen von irgendetwas als DATEIANHANG, schon gar nicht in einer ausführbaren Datei oder als Office-Dokument. NIEMAND.

Allerdings: Während ich das hier geschrieben habe überkam mich gerade die Sorge, dass unsere vor IT-Kompetenz strotzende Bundesregierung demnächst vielleicht auch dieses auf gesundem Menschenverstand basierende Schutzmittel vor Trojanischen Pferden und Viren aushebeln könnte. Eine Regelung a la „Dokumente in eMails dürfen ab dem soundsovielten nur noch mittels einem von der Bundesregierung zertifizierten Verfahren versendet werden. Zur Sicherstellung der Unversehrtheit eines Dokumentes und der zugehörigen digitalen Signatur muss dieses Dokument vor dem Versand mittels eines Packprogrammes in ein selbstentpackendes Archiv umgewandelt werden.“ Zutrauen würde ich denen das inzwischen. Und dann funktioniert auch diese Methode zur Verbreitung von Malware wieder hervorragend.

Hoffentlich habe ich jetzt niemanden auf dumme Ideen gebracht.

Update: Wie ich grad sehe gibt es bei heise auch Details zu den versendeten Schädlingen.