AV-Test: Werbeindustrie späht Nutzer mit Spionage-Apps aus

„Beim Download nützlicher Programme und Apps wird PUA sozusagen im ‚Huckepack‘ mit ausgeliefert, um dann das Nutzungsverhalten auszuwerten und ungewollte, personalisierte Werbung einzublenden“, erläutert Maik Morgenstern, Geschäftsführer und Technischer Leiter von AV-Test. Eingesetzt werden solche Schnüffelanwendungen von der Werbeindustrie, die laut dem Marburger Sicherheitsinstitut verstärkt Android-Nutzer ins Visier nimmt: Im ersten Quartal dieses Jahres sei die Zahl der PUA-Angriffe auf Googles Mobilbetriebssystem um mehr als 13 Prozent gegenüber dem Vorjahr gestiegen. In den Erkennungssystemen von AV-Test machten PUA 2015 knapp ein Drittel (31 Prozent) der Online-Bedrohungen aus. 2016 ging ihr Gesamtanteil im Untersuchungszeitraum auf 20 Prozent zurück, wobei es sich den Sicherheitsforschern zufolge jedoch nur um einen vorübergehenden Trend handeln könnte.

Generell bedrohen potenziell unerwünschte Anwendungen die Privatsphäre der Nutzer aller gängigen Plattformen. Am häufigsten betroffen waren 2015 mit mehr als 37 von über 40 Millionen PUA-Erkennungen (94 Prozent) Windows-Nutzer. Doch auch auf allen anderen Desktop- und Mobilplattformen zielten Spionageprogramme auf Surfdaten und andere private Informationen von Internetnutzern: Für Mac wurden über 76.000 Samples erfasst, und selbst für Linux waren es noch 412.

In der von AV-Test für 2015 aufgestellten Top Ten der am weitesten verbreiteten Spionage-Software auf Windows-Rechnern belegt „Multiplug“ den ersten Platz. Das Programm protokolliert das Surfverhalten von infizierten PCs und verschickt daraus erstellte Profile heimlich via Internet an Werbefirmen. Diese sind anschließend in der Lage, anhand der Daten Werbung auf Webseiten gezielt anzupassen. Multiplug installiert sich meist zusammen mit Gratisanwendungen von Freeware-Plattformen auf dem Rechner. Gleiches gilt für das zweitplatzierte „Browsefox“. Die Adware installiert Add-ons für Browser wie Internet Explorer, Firefox oder Chrome und verändert die Startseite sowie die Suchmaschinenanbindung. Zusätzlich zeigt sie personalisierte Werbung auf besuchten Webseiten an und öffnet Pop-ups mit Anzeigen. Alle übrigen Vertreter der PUA-Rangliste für Windows arbeiten nach ähnlichen Mustern.

Die Top Ten für Mac wird von der Adware „VSearch“ angeführt. Sie gelangt ebenfalls im Paket mit Freeware-Programmen auf den Rechner und nistet sich wie ein Trojaner per Shell-Skript im Speicher ein. Anschließend versendet sie heimlich System- und Nutzerdaten oder modifiziert auch hier Browser-Einstellungen. Auf Platz zwei liegt „Macnist“, das sich als Browser-Erweiterung für Safari, Chrome und Firefox für Mac tarnt – vermeintlich um Medien wiederzugeben oder Downloads zu beschleunigen. Tatsächlich blendet es eigene Werbeanzeigen auf besuchten Websites ein und protokolliert das Surfverhalten des Anwenders.

PUA-Versionen für Android und andere Mobilplattformen zeigen Werbung innerhalb vordefinierter Bereiche einer App oder kurzzeitig bildschirmfüllende Anzeigen beim Start oder Beenden einer Anwendung an. Zudem können sie Push-Benachrichtigungen sowie den Homescreen als Werbefläche zweckentfremden. Auf Mobilgeräten besonders pikant: Über solche Spionageprogramme lassen sich auch Bewegungsmuster auslesen, um darauf basierend ortsgebundene Werbung zu erstellen.

Eine Grenze zwischen klassischer Malware und PUA zu ziehen, ist laut AV-Test nicht so einfach. Zum einen, weil einige aggressive PUA-Versionen hinsichtlich des Ausspähens von Nutzerdaten ähnliche Mechanismen verwenden wie Trojaner und sich auch die Verbreitungswege häufig kaum unterscheiden. Zum anderen bewegten sich Werbefirmen mit PUA noch in einer rechtlichen Grauzone. Zwar seien die meisten Anbieter von Schutzlösungen technisch in der Lage, solche Angriffe auf die Privatsphäre auf allen gängigen Plattformen zu erkennen, doch scheuten viele rechtliche Auseinandersetzungen mit der Werbeindustrie. Erschwerend hinzu komme, dass sich praktisch auch jede gutartige Gratis-App durch Werbung finanziere.

Auch die Verbreitung herkömmlicher Malware hat 2015 und im ersten Halbjahr 2016 laut dem Jahresbericht von AV-Test zugenommen. Im vergangenen Jahr kamen bis zu fünf neue Schadprogramme pro Sekunde hinzu. Häufiges Einfallstor sind manipulierte Websites. Schon der bloße Aufruf einer verseuchten Seite kann ausreichen, um den Rechner eines Besuchers mit Schadprogrammen zu infizieren oder ihn durch Ausnutzen von Schwachstellen zu kapern. Gefahr geht von speziell zu diesem Zweck erstellten Webseiten aus, aber auch von regulären Sites, die gehackt und mit Malware verseucht wurden. Nach den Daten von AV-Test nutzten Angreifer 2015 fast ausschließlich Websites auf Basis des ungeschützten Übertragungsprotokolls HTTP, um Schadsoftware zu verbreiten (97,88 Prozent). Lediglich 2,12 Prozent der Attacken erfolgten über verschlüsselte HTTPS-Seiten. Der Cliqz-Browser unterstützt die Funktion HTTPS Everywhere, die automatisch für eine verschlüsselte Verbindung sorgt – falls der Seitenbetreiber eine solche anbietet. Das erschwert Angreifern, den Datenverkehr zu manipulieren oder abzuhören.

Zu den weiteren zentralen Ergebnissen des Security Report 2015/16 von AV-Test zählt, dass Cyberkriminelle bei der Verbreitung von Malware ökonomischen Grundsätzen folgen. Sie setzen verstärkt auf Masse und lenken ihre Aktivitäten zunehmend in Richtung Android. AV-Test verzeichnete fast 17 Millionen Schadprogramme für das quelloffene Google-Betriebssystem. Apples iOS ist wegen der geschlossenen App-Infrastruktur und Windows Mobile aufgrund der zu geringen Marktbedeutung für Malware-Autoren weit weniger attraktiv. Analog dazu bleibt Windows das bevorzugte Angriffsziel auf dem Desktop (fast 600 Millionen Schädlinge), weil das weltweit meistgenutzte OS für Kriminelle besonders ertragreich ist. Hier beobachtete AV-Test in der ersten Jahreshälfte 2016 eine steigende Verbreitung von Viren und Trojaner, während der Anteil von Würmern gegenüber dem Vorjahr deutlich zurückging.

Für Apples Desktop-Betriebssystem macOS gab es im Vergleich zu Windows nur eine verschwindend geringe Zahl Malware (819), aber Mac-Nutzer sollten sich dennoch nicht in Sicherheit wiegen. Denn AV-Test zufolge sagen die quantitativen Messwerte nicht über die Angriffsqualität der eingesetzten Schädlinge aus. Im Gegenteil lasse sich die These aufstellen, dass Angreifer keine Vielzahl Malware programmieren müssen, um an wichtige Daten von Mac-Nutzern zu kommen, da diese ihre Rechner ohnehin so gut wie nie mit Antivirenprodukten schützen.

AV-Test untersucht regelmäßig aktuelle Sicherheitslösungen auf ihre Schutzwirkung. Die Ergebnisse der Tests sind kostenlos auf der Website des Sicherheitsinstituts einsehbar. Zuletzt hat es im September und Oktober 22 Privatanwender-Schutzlösungen unter Windows 10 getestet. Jedes Produkt musste sich dabei gegen mehr als 13.000 Malware-Angriffe behaupten.