Pressemitteilung von Matthias Stollberg

Operation "Dragon Lady": Lookout deckt russischen Malware-Ring auf

---

---

München, 5. August 2013 - Das Geschäft mit mobiler Schadsoftware boomt. Die Mehrzahl davon stammt aber von weniger als einem Dutzend russischer Malware-Unternehmen. Das ist ein Ergebnis der Operation "Dragon Lady" des mobilen Sicherheitsexperten Lookout. Das Unternehmen hat auf der Hacker-Konferenz Defcon die Ergebnisse der seit Dezember 2012 andauernden Beobachtung vorgestellt. So ist ein Netzwerk aus zehn Unternehmen für 60 Prozent des Betrugs mit kostenpflichtigen Premium-SMS in Russland verantwortlich. Der Codename "Dragon Lady" entstand in Anlehnung an die amerikanischen U2-Aufklärungsflugzeuge, die während des Kalten Krieges die Sowjetunion überwachten.

Die zehn Malware-Unternehmen arbeiten mit mehreren tausend Affiliate-Partnern zusammen und statten diese mit den Werkzeugen und dem Know-How für effektive Malware-Kampagnen aus. Um die Verbreitung für ihre Partner so einfach wie möglich zu machen, haben die Malware-Unternehmen eine online verfügbare Do-it-yourself-Plattform entwickelt.

In wenigen Schritten können sich selbst Anfänger ohne technische Vorkenntnisse ihre individuellen Schad-Apps zusammenstellen. Per Baukasten-Prinzip konfigurieren die Affiliate-Partner ihre Malware-Apps so, dass sie wie die neueste Version von Angry Birds oder von Skype aussehen. Sie richten Landing-Pages ein, für die sie auf Twitter oder per Smartphone-Anzeigen Werbung machen. Die Partner verfügen insgesamt über zehntausende Webseiten, auf denen ihre Malware beworben wird. Insbesondere Twitter nutzen sie intensiv: Von knapp 50.000 Profilen setzten sie insgesamt 250.000 Tweets mit Links zu den schädlichen Apps ab. Diese zielen vor allem auf Russisch sprechende Nutzer ab, die nach kostenlosen Apps, Spielen, Musik oder Pornos suchen. Einige der Affiliate-Partner verdienen Belegen zufolge bis zu 12.000 US-Dollar monatlich an Provisionen.

Guter Kundenservice: Newsletter vom Malware-Entwickler

Während diese Partner den Vertrieb übernehmen, arbeiten die Malware-Unternehmen im Hintergrund. Sie verantworten die technischen Fragen rund um die Entwicklung und Zusammenstellung der Malware, veröffentlichen alle zwei Wochen neuen Code oder hosten die Malware. Zudem informieren sie ihre Partner per Blog-Post oder Newsletter über die neuesten Betrugs-Taktiken oder wie sie sich der Strafverfolgung und Sicherheitsunternehmen entziehen. Einige Malware-Unternehmen haben sogar einen Wettbewerb unter ihren Affiliate-Partnern gestartet und belohnen den umsatzstärksten Partner. Zudem registrieren die Malware-Entwickler auch die Kurzwahlen für den Premium-SMS-Betrug. So kontrollieren sie die Geldflüsse und stellen sicher, nicht von ihren Partner übervorteilt zu werden.

"Seit dem ersten Premium-SMS-Betrug per Schad-App im August 2010 hat sich diese Art von Malware immer weiter verbreitet und wurde auch immer ausgefeilter", sagt Ryan Smith, Sicherheitsexperte von Lookout, der das Untergrundnetzwerk seit mehr als einem halben Jahr beobachtet. "Aufgrund weniger strenger Regulierungen und dem Boom alternativer App Stores und Foren kommt Premium-SMS-Betrug vor allem in Osteuropa vor. So machen allein diese zehn Malware-Unternehmen 30 Prozent aller dieses Jahr von uns gestoppten Bedrohungen aus - und zwar weltweit".

Alle Lookout-Nutzer sind vor diesen schädlichen Apps geschützt. Soweit möglich, lässt Lookout auch die Kommando-Server abschalten, um den Malware-Unternehmen das Leben schwerer zu machen. Eine Strafverfolgung gestaltet sich schwierig, nicht zuletzt da rechtliche Grauzonen ausgenutzt werden. So werden rechtliche Hinweise auf Premium-Dienste beispielsweise in langen Texten versteckt oder als weiße Schrift auf weißem Hintergrund angezeigt.

Der vollständige Bericht zu dieser Untersuchung steht unter folgender Adresse zur Verfügung: https://www.lookout.com/de/dragon-lady Firmen- & Pressekontakt