Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Endpoint Security Glossar

Mobile Malware

Mobile Malware bezeichnet Schadsoftware die auf Smartphones und Tablets abzielt - Banking-Trojaner, Spyware, Stalkerware, SMS-Stealer und Ransomware. Mobile Malware ist auf iOS und Android technisch anders als Desktop-Malware, aber mindestens genauso gefährlich: Bankdaten, Zwei-Faktor-Codes und persönliche Kommunikation sind auf dem Smartphone.

Mobile Malware ist kein Randphänomen: Kaspersky blockierte 2024 über 33 Millionen mobile Malware-Angriffe. Besonders gefährdet: Android (offenere Plattform) aber iOS ist keineswegs immun. Für Unternehmen ist Mobile Malware besonders kritisch, da Mitarbeiter-Smartphones oft Zugriff auf E-Mail, Teams, VPN und Unternehmens-Apps haben.

Typen mobiler Malware

Banking-Trojaner (häufigste Bedrohung)

Angriff:

  • Gefälschte Banking-App oder Overlay über echte App
  • Stiehlt: Login-Daten, Transaktions-TANs, Kontodaten
  • ATS (Automatic Transfer System): überweist selbstständig

Bekannte Familien:

  • Anatsa (TeaBot): Android Banking-Trojaner, 650+ Banken
  • TrickMo: MFA-Bypass via Remote-Control
  • SpyNote: Remote Access Trojan (RAT), Kamera-/Mikrofon-Zugriff
  • Cerberus: Mietmalware mit Keylogger + Google Authenticator-Overlay

SMS-Stealer

Angriff:

  • Liest SMS-Nachrichten mit
  • Stiehlt: OTP-Codes (SMS-basiertes 2FA)
  • Kriminelle kaufen gestohlene OTPs auf Darknet-Marktplätzen

Beispiel-Angriff: Angreifer kennt das Passwort (aus einem Leak), benötigt noch das SMS-OTP. Nach einer Infektion mit einem SMS-Stealer wartet der Angreifer, bis sich das Opfer anmeldet, und greift den OTP-Code in Echtzeit ab.

Spyware und Stalkerware

Kommerzielle Spyware (staatliche Akteure):

  • Pegasus (NSO Group): staatliche Überwachung, iOS Zero-Click
  • Predator, Hermit: staatliche Akteure
  • Infektionsvektor: Zero-Click (kein Klick nötig) oder Link

Kommerzielle Stalkerware (Privatpersonen):

  • FlexiSPY, Spyic, Cocospy: für „Partner-Überwachung”
  • Erfasst: GPS, SMS, Anrufe, Fotos, Social Media
  • Installation erfordert meist physischen Gerätezugriff (ca. 5 Minuten)

Ransomware für Mobile

  • Seltener als Desktop-Ransomware, aber wachsend
  • Sperrt das Gerät oder verschlüsselt Dateien
  • Android: Scareware (falsche Polizei-Meldung) häufiger als echte Verschlüsselung
  • Wichtige Daten: iCloud/Google-Backup schützt

Adware / PUP (Potentially Unwanted Programs)

  • Häufigste Malware-Kategorie
  • Zeigt aggressive Werbung, verlangsamt das Gerät
  • Verbreitet über App-Stores Dritter

Cryptominer

  • Nutzt CPU/Akku für Krypto-Mining
  • Verursacht Überhitzung, Akku-Schäden, hohen Datenverbrauch
  • Oft in Spielen oder „Premium”-Apps versteckt

Verbreitungswege

1. Malicious Apps (häufigster Weg)

  • Offiziell: gefälschte Apps im Google Play Store (trotz Review)
  • Sideloading: APK aus unbekannten Quellen (Android)
  • Enterprise-Profile: iOS-Apps außerhalb des App Stores über MDM-Profil

Getarnte App-Typen:

  • „Kostenlose” Premium-App, die normalerweise Geld kostet
  • VPN-Apps (viele spionieren aus)
  • „Cleaner”/“RAM-Booster”-Apps (immer verdächtig)
  • Gefälschte Banken-Apps oder Utility-Apps

2. Smishing (SMS-Phishing)

  • „Ihr Paket kann nicht zugestellt werden: [Link]”
  • Link öffnet gefälschte Installationsseite
  • Nutzer installiert „offizielle App” = Malware

3. Malvertising

  • Malware-infizierte Werbeanzeigen in Apps
  • Drive-by-Download auf mobilen Websites

4. Zero-Click Exploits

  • Kein Nutzerinteraktion nötig
  • Angriff über: iMessage, WhatsApp, SMS
  • Pegasus: reines Empfangen einer Nachricht führt zur Infektion
  • Ziel: Journalisten, Aktivisten, Politiker

5. QR-Code-Phishing (Quishing)

  • Gefälschter QR-Code führt zu Malware-Download
  • Auf öffentlichen Ladestationen, Restaurants, Plakaten
  • „Scannen Sie hier für WLAN-Zugang”

Unternehmens-Schutzmaßnahmen

MDM/UEM (Mobile Device Management)

  • Alle geschäftlichen Geräte via MDM verwalten
  • Richtlinien: kein Sideloading, Screen-Lock, Geräteverschlüsselung
  • Remote-Wipe bei Verlust/Diebstahl
  • Compliance-Check: ist das Gerät sicher? → Andernfalls kein Zugang

MTD (Mobile Threat Defense)

  • Spezialisierte Sicherheits-Apps für Mobilgeräte
  • Lösungen: Lookout, SentinelOne Mobile, Zimperium, Jamf Protect
  • Erkennt: Malware, Netzwerk-Angriffe (Evil Twin WLAN), System-Kompromittierung
  • Integration mit MDM und SIEM

BYOD-Sicherheit

  • Work Profile (Android Enterprise): trennt Privat von Geschäftlich
  • iOS Managed Apps: geschäftliche Apps ohne Gerätekontrolle
  • Conditional Access: unsichere Geräte → kein Zugriff auf M365
  • MAM (Mobile App Management) ohne MDM: nur App-Level-Kontrolle

Maßnahmen für Mitarbeiter

  • Nur Apps aus offiziellen Stores (App Store, Google Play)
  • App-Berechtigungen regelmäßig prüfen - eine Taschenlampen-App braucht kein Mikrofon und kein GPS
  • Regelmäßige OS-Updates (Patches schließen Zero-Days)
  • Kein SMS-OTP nutzen - besser TOTP-Authenticator oder FIDO2
  • Öffentliche WLAN-Netze: VPN nutzen
  • QR-Codes: Ziel-URL vor dem Öffnen prüfen
  • Geräte-PIN: mindestens 6-stellig; Face ID/Fingerprint allein reicht nicht

Indicators of Compromise (IoC) auf Mobile

  • Akku entlädt sich ungewöhnlich schnell
  • Hoher Datenverbrauch durch unbekannte Apps
  • Unbekannte Apps in der App-Liste
  • Gerät ist warm, obwohl nicht genutzt (Mining?)
  • Pop-ups und Umleitungen beim Browsen
  • Ungewöhnliche SMS oder Anrufgebühren

Forensik und Incident Response bei Mobile

Android

  1. WLAN und Mobilfunk deaktivieren (Airplane Mode)
  2. Kein Reset - Beweise zuerst sichern
  3. Android Debug Bridge (ADB): Logs + installierte Apps
  4. Mobile Forensic Tools: Cellebrite UFED, Oxygen Forensic
  5. APK auf VirusTotal hochladen
  6. Reset erst nach forensischer Sicherung

iOS

  1. Airplane Mode aktivieren
  2. iCloud-Backup stoppen (Backup überschreibt Forensik-Daten)
  3. iOS-Forensik: Cellebrite, GrayKey (teuer, staatliche Behörden)
  4. Spyware-Check: iVerify (Lookout) für iOS-Malware-Scanning
  5. Factory Reset nach Datensicherung

Pegasus-Erkennung

# MVT (Mobile Verification Toolkit) von Amnesty International:
python3 -m mvt-ios check-backup --iocs indicators.stix2 /backup

Sucht nach bekannten Pegasus-IOCs in Backups. Für iOS ist ein Jailbreak via checkra1n für tiefere Analyse möglich.

AWARE7 Leistungen zum Thema

Penetrationstest Mobile Apps Phishing-Simulation

Ausführlicher Wiki-Artikel

Endpoint Security: EDR, EPP und ganzheitlicher Geräteschutz

12 min Lesezeit

Mobile Security: Android und iOS Enterprise-Härtung, MDM und BYOD

14 min Lesezeit

Phishing und Social Engineering: Angriffsmethoden, Psychologie und Schutzmaßnahmen

16 min Lesezeit

Verwandte Begriffe

BYOD (Bring Your Own Device) Malware MDM (Mobile Device Management) MFA (Multi-Faktor-Authentifizierung) Phishing Smishing (SMS Phishing)
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung