Hinweis zu Affiliate-Links: Alle Produkte werden von der Redaktion unabhängig ausgewählt. Im Falle eines Kaufs des Produkts nach Klick auf den Link erhalten wir ggf. eine Provision.

Millionen geknackte Android-Phones waren erst der Anfang

von Max Biederbeck
Zehn Millionen Handys gehackt, im Namen der Werbung. Das ist die Bilanz von HummingBad, einem der wohl größten Massenneinbrüche der Smartphone-Geschichte. Doch die Entdecker der Schadsoftware glauben: Es kommt noch schlimmer.

Ja, stimmt schon, HummingBad hat schlimm gewütet. „Zehn Millionen infizierte Android-Geräte bisher, das ist schon eine Hausnummer“, sagt Michael Shaulov. Er muss das Offensichtliche oft erklären dieser Tage. Shaulov und sein Team beim Sicherheitsdienstleister Checkpoint aus Tel Aviv haben das Schadprogramm entdeckt.

Ein ebenso geniales wie einfaches Stück Code, das sich heimlich über infizierte Websites – per sogenanntem Drive-by Download – auf Smartphones und Tablets herunterlädt. Dann übernimmt HummingBad die Kontrolle. Die Software richtet eine Hintertür im System ein und fängt unbemerkt an, Apps zu installieren. Millionen von Geräten lässt es zu ungewollten Werbekunden mutieren. Sie klicken jede Anzeige an, die ihnen HummingBad anzuklicken befiehlt.

Doch so sehr Shaulov es auch gutheißt, dass die Weltpresse jetzt über diesen vermutlich größten Hack der Android-Geschichte spricht: Als Verantwortlicher für das Thema Mobil-Sicherheit bei Checkpoint ist er sicher, dass das alles erst der Anfang „einer regelrechten Krise“ ist. Zu wenige, die jetzt über HummingBad diskutieren, denken in seinen Augen darüber nach, welche gefährlichen Entwicklungen hinter den News stehen. „Es geht um mehr als nur ungewollte Werbung“, sagt Shaulov. Viel wichtiger sei, wer den Code wie und warum programmiert habe.

+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++

Wer, das ist eine chinesische Gruppe mit dem Namen Yingmob – eigentlich weniger eine Gruppe als ein Unternehmen. Und eigentlich lautet dessen Name auch Beijing Yingmob Interactive Technology Co. Die Firma betreibt zu achtzig Prozent ein völlig legitimes Werbegeschäft. Auf insgesamt 85 Millionen Smartphones läuft ihre Ad-Software. Zwanzig Prozent der Geschäfte aber sind illegal. Immerhin 25 der Mitarbeiter programmieren gefährliche Malware. Einen Hehl macht Yingmob daraus nicht wirklich.

Denn chinesische Hacks funktionieren anders als russische oder westliche IT-Attacken, das wissen auch die Experten bei Checkpoint. Auch HummingBad machte das wieder klar. Im Frühjahr entdeckten Sicherheitsleute in Singapur das Programm und begannen mit dem Reverse Engineering – also mit der Analyse der Software und der Jagd auf die Hintermänner.

Wenn man gewusst hätte, wonach man sucht, hätte man das Ganze googeln können

Mitarbeiter von Checkpoint

Schnell wurde Checkpoint klar: Viel Detektiv-Arbeit war gar nicht nötig. Die Pläne zu HummingBad lagen völlig offen im Internet vor. Kein Geheimnis, sondern als frei zugängliche Wiki-Seiten in Mandarin. Dazu Statistiken und Auswertungen über erste Opfer. „Wenn man gewusst hätte, wonach man sucht, hätte man das Ganze googeln können“, sagt ein Checkpoint-Mitarbeiter zu WIRED.

Man kann jetzt einwenden, dass die chinesische Regierung lax mit den kriminellen Hacker-Energien im eigenen Land umgeht und man sich als Hacker dort deshalb nicht verstecken muss. Doch das stimmt nicht, die Verhandlungen über einen Nichtangriffspakt im Netz zwischen China und USA im September 2015 beweisen das. Seit diesen Verhandlungen hat das Sicherheitsunternehmen FireEye einen Rückgang der digitalen Einbrüche durch chinesische Hacker um rund 90 Prozent festgestellt.

Chinas Behörden gehen durchaus hart gegen Internet-Kriminelle vor, das sagen sie auch bei Checkpoint. Der Punkt sei eher, so Shaulov, dass es im Fall von Mobile-Ads von Grund auf kein Unrechtsbewusstsein bei Staat und Unternehmen gebe. Und das werde langsam zum Problem. „Yingmob ist nicht die einzige Firma, die Hacking in ihre normale Firmenstruktur einbaut“, sagt Shaulov. Das Internet erlebe gerade die „einzigartige Transformation“ hin zu einem neuen Geschäftsmodell.

Drei Entwicklungen kommen dabei zusammen: Erstens, das E-Commerce-Business verlagert sich weltweit aufs Smartphone. Das wiederum löst, zweitens, althergebrachte Geschäftsmodelle ab, bei denen Werbung angeboten wird, damit der User sie anklickt. Stattdessen macht zunehmend das stetige Überwachen von Nutzerverhalten Schule, bei dem sich mehr Geld herausholen lässt.

Und drittens hat sich Malware für Mobilgeräte enorm weiterentwickelt. „Mittlerweile können sich Unternehmen die Codes einfach bei Github herunterladen und in ihre Ad-Programme einbetten“, sagt Shaulov. Weil viele Android-Handys ihre Betriebssysteme nur langsam updaten, bleiben Sicherheitslücken lange bestehen und die Erfolgsquote solcher Hacks ist extrem hoch. „In 80 Prozent der Fälle klappt es“, sagt Shaulov. Vor allem chinesische Unternehmen nehmen dankend an.

Aber es geht um mehr als nur ein illegales Geschäft mit Werbung. Indem Firmen wie Yingmob Millionen von Geräten mit Hintertüren infizieren, werden diese langfristig auch für Hacker anfällig, die mehr im Sinn haben, als nur Ad-Gewinne zu erzielen.

Niemand hindert die Angestellten dieser Unternehmen daran, die Zugänge weiterzuverkaufen

Michael Shaulov, Checkpoint

„Niemand hindert die Angestellten dieser Unternehmen daran, die Zugänge weiterzuverkaufen“, sagt Shaulov. Nicht auszudenken sei, was ein Angreifer mit ihnen alles machen könnte. In einem Fall habe sich jemand auf diese Weise zum Beispiel schon Zugang zum Firmennetzwerk des Riesenkonzerns Alibaba verschafft. Das Handy eines Mitarbeiters, dem das Firmennetzwerk eigentlich vertraute („whitelisted“), war infiziert und verschaffte Hackern so Zugriff auf wichtige Datenbanken. Durch die Massen an gehackten Geräten könnte dieses Schicksal bald jedem größeren Unternehmen drohen.

„Wenn es einfache Antworten auf dieses Problem gäbe, dann hätten wir sie schon“, sagt Michael Shaulov. Je mehr Geschäftspotenzial die werbetreibenden Unternehmen im Hacken sehen, desto gefährlicher wird es für alle anderen. 

GQ Empfiehlt