Wer die IT-News in den vergangenen Wochen aufmerksam verfolgt hat, der kennt die Gefahr: Telefonviren wurden verschiedentlich als die nächste grosse Bedrohung dargestellt. So wurde etwa Anfang März mit Commwarrior der erste MMS-Virus entdeckt, und Ende Februar schreckte die Meldung auf, dass mit dem bereits Mitte 2004 identifizierten Cabir der erste Phone-Virus den Sprung über den grossen Teich geschafft hat und künftig Amerikas Handy-User aufmischen wird. Tatsächlich?
In der Tat geht von Handyviren eine gewisse Gefahr aus. Es gibt kaum noch Menschen, die heutzutage kein Handy besitzen, und bei vielen hängt offenbar der gesamte Tagesablauf vom Quasselknochen ab. Nicht auszudenken, was ein Virus da anrichten kann, wenn er erst anfängt, Telefonnummern und Kalendereinträge zu löschen, wahllos in der Gegend herumzutelefonieren (bevorzugt auf teure 0900-Nummern), das Handy durch Betriebssystem-Absturz zu deaktivieren, vertrauliche Gespräche aufzuzeichnen oder die integrierte Kamera zur ferngesteuerten Spionage zu nutzen...
Allerdings wird die Suppe auch in diesem Fall kaum so heiss gegessen, wie sie gekocht wird. Denn auch wenn unzweifelhaft ist, dass Cabir den Weg nach Amerika gefunden hat, einen messbaren Schaden hat er bisher weder in den Staaten noch in Europa verursacht. Kein Wunder behaupten Sicherheitsexperten, dass die Wahrscheinlichkeit, einen Handyvirus einzufangen und dadurch tatsächlich geschädigt zu werden, derzeit kaum grösser ist, als von einem herunterfallenden Klavier getroffen zu werden.
Bisher sind von den verschiedenen Herstellern von Antivirensoftware rund zehn verschiedene Handyviren und -trojaner entdeckt worden, von denen vier einige Bekanntheit erlangten: Cabir und Skulls in mehreren Varianten, Lasco sowie Commwarrior, wobei Lasco von einigen ebenfalls als Cabir-Version bezeichnet wird. In der Tat sind sich Cabir und der Anfang Januar vom brasilianischen Virenautor Marcos Velasco geschriebene Lasco sehr ähnlich – letzterer verfügt allerdings über eine zusätzliche Funktion zur Infizierung von Symbian-Dateien (sis-Archive).
Cabir wurde im Sommer 2004 von einer europäischen Hackergruppe geschrieben und tauchte im August des vergangenen Jahres erstmals auf den Philippinen auf. Von da hat er sich innert eines halben Jahres nur sehr vereinzelt und gerade mal in 13 Länder weiterverbreitet, zuletzt im Februar in die USA und nach Südafrika. Die langsame Verbreitung von Cabir wird darauf zurückgeführt, dass die gefährdeten Smartphones mit Symbian-60-OS teuer und noch nicht so beliebt sind – laut Jupiter Research waren bloss 4 Prozent der Handyverkäufe in 2004 Smartphones. Ausserdem hatten die ersten Cabir-Varianten einen Bug: sie konnten sich bloss einmal pro Handy-Reboot vermehren. Dies änderte sich mit den Versionen Cabir.H und Cabir.I, die sich beliebig oft weiterverbreiten können.
Alle Cabir-Versionen sowie Lasco verbreiten sich per Bluetooth. Sobald in der Umgebung des infizierten Handys ein empfangsbereites Bluetooth-Telefon entdeckt wird, schickt sich Cabir selber an dieses Gerät und versucht sich zu installieren. Dazu muss der Besitzer allerdings mehrmals explizit sein Einverständnis geben: einmal für den Empfang und mindestens zweimal für die Installation der Datei namens «Caribe» (respektive «Velasco.sis» bei Lasco).
Eigentliche Schadensfunktionen tragen weder Cabir noch Lasco mit sich. Der Schaden beschränkt sich darauf, dass der Bluetooth-Port dauerbesetzt ist, weil die Viren nach Verbreitungsmöglichkeiten suchen, sowie auf die daraus resultierende deutlich reduzierte Batterielebenszeit.
Cabir wurde eigentlich als «Proof-of-Concept» designt, das zeigen sollte, dass auch Handys durch Viren angreifbar sind; dennoch sind mittlerweile einige Versionen in der Wildnis aufgetaucht. Lasco dagegen wurde ausserhalb der Labors einiger Antivirensoftwarehersteller nicht gesichtet.
Der Trojaner Skulls wurde im vergangenen November entdeckt, auch er befällt nur Handys mit Symbian-OS. Er verfügt nicht über eine eigene Verbreitungsfunktion, sondern tarnt sich auf einigen Shareware-Seiten beispielsweise als Theme-Manager oder Flash-Player. Anders als Cabir und Lasco ist Skulls in der Lage, ein Mobiltelefon weitgehend unbrauchbar zu machen: er ersetzt sämtliche Icons von Applikationen auf der Bedieneroberfläche durch Totenköpfe und löscht die Verknüpfungen mit der Anwendung. Dadurch lässt sich keine Applikation wie SMS, Agenda, Browser oder Kamera mehr starten, einzig das Telefonieren funktioniert noch. Wiederherstellen lässt sich die komplette Handyfunktionalität nur noch, wenn zwischen Infektion und Wiederherstellung kein Restart gemacht wurde.
Auch von Skulls gibt es mittlerweile verschiedene Versionen, die sich unterschiedlich tarnen. Die neueren Varianten machen nur noch wenige Applikationen unbrauchbar, beispielsweise diejenigen, die zur Deinstallation von Skulls nötig wären. Ausserdem installieren sie eine Cabir-Version. Auch Skulls wurde als «Proof-of-Concept» bisher bloss in Einzelfällen ausserhalb der Labors entdeckt.
Die neueste Generation von Handyviren wird durch Commwarrior repräsentiert, der im Januar in Umlauf gebracht, aber erst Anfang März entdeckt wurde. Anders als seine Vorgänger verbreitet sich der aus Russland stammende Commwarrior nicht nur über Bluetooth, sondern auch über den Multimedia Messaging Service (MMS); er verschickt sich dabei automatisch an alle im Adressbuch vorhandenen Kontakte. Die Nachrichten versprechen dabei etwa Pornographie, Antivirensoftware oder Games und sollen so den Anwender zur Installation des Anhangs verleiten. Eine Schadensroutine enthält Commwarrior nicht. Er verbreitet sich offenbar in freier Wildbahn, allerdings sehr langsam.
Derzeit spricht wenig für die befürchtete Epidemie von Handyviren. Die Systemlandschaft ist extrem uneinheitlich, die Geräte sind (noch) wenig verbreitet, und die Viren selber können sich kaum schnell ausbreiten. Wie Olaf Lindner von Symantec erklärt, sind die derzeit bekannten Bedrohungen vor allem Test-Würmer, Proof-of-Concepts, von denen nur einige Ausnahmen wie Cabir sehr vereinzelt im freien Umlauf sind. Und nicht zuletzt basieren die bekannten Viren nicht auf Schwachstellen des Betriebssystems, sondern vertrauen für die Verbreitung auf die Dummheit der Anwender.
Das wird sich vorläufig auch nicht ändern. Zwar könnten sich Handyviren per Wi-Fi wesentlich schneller verbreiten, irgendwann wird auch das Symbian-OS Sicherheitslücken offenbaren und die Programmierer werden Möglichkeiten für Cross-Plattform-Viren finden, die sich auf verschiedenen Telefon-Fabrikaten fortpflanzen können – aber selbst viele Experten rechnen nicht damit, dass entsprechende Viren in näherer Zukunft auftauchen werden. Lindner allerdings warnt davor, dass die Entwicklung plötzlich rasant voranschreiten kann, wenn Smartphones weiter verbreitet sind und damit zu einem attraktiveren Ziel werden. Auch würden die Angriffsflächen mit zunehmendem Funktionsumfang immer grösser. Allerdings möchte auch Lindner nicht über den Zeitpunkt spekulieren, wann die Bedrohung real werden könnte.
Angesichts der tatsächlich kaum vorhandenen Gefahr, die von Handyviren derzeit ausgeht, kann man die aktuellen Meldungen und Horrorszenarien deshalb wohl mit Fug und Recht als Medienhype betrachten – oder aber als verkaufsfördernde Massnahme gewisser Hersteller von Antivirensoftware für Mobiltelefone.
In der Praxis gibt es kaum etwas einfacheres, als sein Mobiltelefon frei von Malware zu halten. Es genügt, zwei simple Regeln zu befolgen:
1. Akzeptieren Sie niemals unerwartete Bluetooth-Übertragungen von anderen Handys.
2. Installieren Sie Software von Drittanbietern nur dann, wenn Sie der Quelle vertrauen können, unabhängig davon, ob Sie die Software heruntergeladen oder per Bluetooth oder MMS erhalten haben.
