Avira Jahresbericht zur Bedrohungslage 2020

2020 war in vielerlei Hinsicht ein außergewöhnliches Jahr. Die globale Bedrohungslandschaft hat sich in diesem Jahr spürbar verändert. Cyber-Kriminelle verwenden COVID-19 bzw. Corona vermehrt als thematischen Köder in ihren Phishing-Kampagnen.

Windows-Malware dominierte weiterhin die Bedrohungslandschaft, doch auch die Anzahl plattformunabhängiger Bedrohungen stieg mit jedem Monat. Sowohl macOS- als auch Android-Malware hat sich inzwischen in ihrem jeweiligen Umfeld etabliert und setzt sich aus einer Vielzahl unterschiedlicher Bedrohungsarten zusammen.

Unsere Heatmaps zur Bedrohungslandschaft weisen bezüglich der Malware-Verbreitung regionale Unterschiede auf, da Angriffe in einigen Ländern und Regionen häufiger vorkamen als in anderen.

Weltweiter Überblick: 2020 im Vergleich zu 2019

Nur in einem Monat des Jahres 2020 gab es im Vergleich zu 2019 ein deutlich geringeres Gesamtangriffsvolumen: im August. Der größte Anstieg lässt sich zu Jahresbeginn, mit einer deutlichen Spitze im April, und ab September verzeichnen. Die COVID-19-Situation war sicherlich ein treibender Faktor für die Zunahme am Jahresanfang und -ende, wobei sich die Aktivitäten in den Sommermonaten etwas stabilisierten.

Im Vergleich zu 2019 ist die Zahl der weltweit blockierten Bedrohungen 2020 um etwa 15 % gestiegen, wobei vor allem in den ersten und letzten Monaten des Jahres eine deutliche Zunahme zu verzeichnen war. 

2020 wurden mehr einzigartige Malware-Bedrohungen verzeichnet als je zuvor. Unsere Datenbank ist von 556 Millionen im Jahr 2019 auf geschätzte 652 Millionen Ende 2020 gewachsen. Das bedeutet, dass etwa 17 % aller Bedrohungen, denen wir und unsere Kunden jemals begegnet sind, in den letzten 12 Monaten aufgetaucht sind. Das sagt zwar nichts darüber aus, wie viele Bedrohungen tatsächlich „in freier Wildbahn“ anzutreffen sind. Es zeigt aber deutlich, dass die Malware-Autoren dieser Welt unaufhörlich Malware produzieren.

Widmen wir uns nun den Angriffsarten, die von Avira im Jahr 2020 plattformübergreifend (Windows, macOS & Android) blockiert wurden. Die folgende Abbildung zeigt, in welchen Ländern Nutzer und ihre Geräte am meisten von bösartigen Aktivitäten betroffen waren. Die dunkelrot dargestellten Länder sind diejenigen mit der höchsten Angriffsrate. Je heller das rot, desto weniger Malware-Bedrohungen waren vorhanden.

Online-Bedrohungen

Schädliche URLs und Phishing-Webseiten machten den größten Anteil in dieser Kategorie aus.

Sobald ein Nutzer unwissentlich eine infizierte Webseite aufruft, blockiert der Virenschutz die betreffende URL. Oft handelt es sich dabei um Phishing-Seiten,die Banken oder beliebte Webservices wie PayPal oder eBay imitieren. Sobald der ahnungslose Benutzer seinen Benutzernamen und sein Kennwort eingegeben hat, wird er in der Regel auf die echte PayPal- bzw. eBay-Webseite weitergeleitet, so dass er annimmt, er hätte sich bloß vertippt. Dies führt häufig dazu, dass Konten unbemerkt kompromittiert werden, was einer der Gründe dafür ist, warum die Annahme, Online-Banking sei unsicher, immer noch relativ weit verbreitet ist.

Der Anteil in dieser Kategorie hängt in hohem Maße von den jeweils laufenden Phishing-Kampagnen ab – wie z. B. Phishing-Mails, die die Nutzer auf eine gefälschte Anmeldeseite leiten – und dies kann von Woche zu Woche stark schwanken.

Online-Bedrohungen nach Ländern

Unsere Heatmap zeigt deutlich, dass Nutzer aus Ländern der nördlichen Hemisphäre mit einer deutlich höheren Wahrscheinlichkeit auf eine bösartige Webseite stießen als Nutzer aus Ländern der südlichen Hemisphäre. Dennoch befindet sich Indien gemeinsam mit Singapur, Dänemark und den Vereinigten Staaten mit einer sehr hohen Wahrscheinlichkeit von Online-Angriffen erneut an der Spitze. Es folgen Skandinavien, Großbritannien und Belgien.

Im oberen Mittelfeld befinden sich Mitteleuropa mit der DACH-Region, Frankreich, Italien und Spanien (hohes Bedrohungsniveau).

Die niedrigste Rate an blockierten URLs wurde in Nordafrika und in der Region Westasien registriert (mittleres bis niedriges Bedrohungsniveau).

Die häufigsten Android-Bedrohungen 2020

2020 stieg die Zahl der entdeckten Android-Banking-Trojaner um 35 Prozentpunkte an, was sicherlich auf die vermehrten Mobile-Banking-Aktivitäten in diesem Jahr zurückzuführen ist. 

Die häufigsten Malware-Bedrohungen im Android-Umfeld 2020: 

„COVID-19“- und „Corona“-Apps

Wie bereits erwähnt, haben die Malware-Autoren seit Beginn der COVID-19-Pandemie die verschiedensten Strategien entwickelt, um die Ängste und das Informationsbedürfnis der Nutzer rund um Corona auszunutzen. Ein Beispiel dafür ist eine Variante des Android-Banking-Trojaners „Cerberus“, die unter dem Namen „Corona-Apps.apk“ über Phishing-Kampagnen verbreitet wird. Das Schlagwort „Corona“ soll Android-Nutzer zur Installation des Trojaners auf ihrem Smartphone verleiten.

„Schon seit Langem bedienen sich die Autoren von Schadsoftware psychologischer Tricks, um ahnungslose Nutzer zu ködern“, erklärt Alexander Vukcevic, Leiter der Avira Protection Labs. „Und derzeit befinden wir uns in einer Situation, in der viele Menschen nach Antworten suchen und sich wegen COVID-19 Sorgen machen. Diese Verunsicherung nutzen die Autoren von Schadsoftware gezielt aus“, so Vukcevic weiter.

Stalkerware  

Bei Apps, die als Stalkerware (auch Spouseware genannt) erkannt werden, handelt es sich um eine Art von Spyware, die die Privatsphäre der Nutzer und die Sicherheit des Systems gefährden kann. Diese Spionage-Apps können ohne das Wissen oder die Zustimmung des Gerätebesitzers, wie zum Beispiel Ehepartner, installiert werden, um diese heimlich zu überwachen und persönliche Informationen – wie Bilder, Videos, Nachrichten und Standortdaten – auszuspionieren. Um ihre Aktivitäten zu verschleiern, nutzen sie einen Tarnmodus, der die App unsichtbar im Hintergrund laufen lässt.

Aufgrund der zunehmenden Aktivität von Stalkerware-Apps im Android-Umfeld ist Avira der Koalition gegen Stalkerware beigetreten, um deren Kampf gegen diese Bedrohung zu unterstützen. Nähere Infos sowie die Analyse einer typischen Stalkerware-App finden Sie in diesem Blog-Artikel.

Android-Banking-Trojaner

Banking-Trojaner spielten schon immer eine wichtige Rolle in der Android-Malware-Szene und in diesem Jahr war dies nicht anders. Neben der Strategie, COVID-19 als Tarnung zu verwenden, nutzen sie auch den klassischen Ansatz: Sie tarnen sich als eine weit verbreitete App und fragen nach ungewöhnlichen Berechtigungen, um so z.B. an Kreditkartendaten zu gelangen.

Android-Bedrohungen nach Ländern

Durch die Pandemie ist das Informationsbedürfnis der allgemeinen Öffentlichkeit stark gestiegen. Diesen Umstand haben sich die Autoren von Android-Malware zunutze gemacht, um Apps zu verbreiten, die die Nutzer angeblich über eine mögliche Corona-Infektion informieren. Oder sie integrierten einfach nur COVID-spezifische Schlüsselwörter wie „Corona“ in die App-Bezeichnung, um die Nutzer zu ködern.

Auf unserer globalen Heatmap zeigt sich ein anderes Verbreitungsmuster als im Jahr zuvor. Android-Bedrohungen traten 2020 am häufigsten im Iran, in Algerien, Indien und Pakistan auf (sehr hohes Android-Bedrohungsniveau). Nutzer in Japan, Kanada und Finnland hingegen waren weniger Angriffen ausgesetzt (mittleres Android-Bedrohungsniveau). Dennoch war die Gesamtzahl der Angriffe einigermaßen ausgeglichen, was bedeutet, dass nur wenige Länder ein deutlich höheres oder niedrigeres Bedrohungsniveau als der Durchschnitt aufwiesen.

macOS-Bedrohungen

macOS wird oft als Malware-resistent betrachtet. Es gab sicherlich eine Zeit, in der das auch zutraf, doch die derzeitige Wachstumsrate im macOS-Umfeld zeigt, dass Malware-Autoren längst Mittel und Wege gefunden haben, um auch in diese Systeme einzudringen. 

Adware und PUAs machten in diesem Jahr mehr als die Hälfte der entdeckten macOS-Bedrohungen aus.

Der einfachste Weg, die von Apple eingerichteten Filter zu umgehen, besteht darin, eine Software einigermaßen legitim aussehen zu lassen und trotzdem über Spam-Werbung auf dem infizierten System Einnahmen zu generieren. Darüber hinaus gibt es natürlich noch die klassischen Malware-Arten, wie z. B. Screenlocker oder Stealer.

Einige bösartige Anwendungen, die über Installationspakete, Spam oder gefälschte Adobe Flash Player-Updates verbreitet werden, weisen eine Kombination aus mehreren potenziell unerwünschten Verhaltensweisen auf. Dazu gehören z. B. aufdringliche Werbung und das Ändern der Standardsuchmaschine des Benutzers, was zu Datenschutzproblemen führen kann.

Script- und Microsoft Office-basierte Angriffe sind im macOS-Umfeld recht weit verbreitet und machen 21,5 % der Gesamtangriffe aus.

Skript- und Microsoft Office-basierte Angriffe sind in der Regel sogenannte First-Stage-Infektoren, d. h. sie laden die eigentliche Malware erst herunter, nachdem sie ein System erfolgreich infiltriert haben.  

macOS-Bedrohungen nach Ländern

Wie die Zweiteilung der Karte zeigt, stellt sich die Bedrohungslage im macOS-Umfeld gänzlich anders dar als im Android-Umfeld. Auf der einen Seite befinden sich Länder mit einem hohen bis sehr hohen Infektionsrisiko, auf der anderen Seite Länder mit einer geringen oder sehr geringen Anzahl registrierter Angriffe.

Offensichtlich konzentrierten sich die macOS-Malware-Autoren und Adware-Verbreiter auf die Märkte mit der höchsten Verbreitung von Apple-Geräten. Hier führen die Vereinigten Staaten die Liste mit einem sehr hohen macOS-Bedrohungsniveau an, gefolgt von Kanada, Westeuropa, Australien und Japan (hohes bis sehr hohes macOS-Bedrohungsniveau).

Nur sehr wenige Länder befinden sich im Mittelfeld, wie z. B. Beispiel Italien und China, die beide zwar immer noch hohe Zahlen aufweisen, aber deutlich niedrigere als die oben Genannten. Südamerika, Afrika und Asien waren, mit einigen Ausnahmen, vergleichsweise wenig von macOS-basierten Malware-Angriffen betroffen.

IoT-Bedrohungen

Die IoT-Bedrohungen haben auch im Jahr 2020 weiter zugenommen. Da sich viele Menschen öfter zuhause aufgehalten haben, wurden mehr smarte Geräte angeschafft und installiert, die permanent mit dem Internet verbunden sind. Während die meisten dieser Geräte als sicher betrachtet werden können, gibt es auch Dutzende von ihnen, die durch Sicherheitslücken in der Hardware- und Software-Konfiguration anfällig für Angriffe sind.

Da es in der Regel keine Möglichkeit gibt, die Nutzer z. B. durch Adware-Apps oder Phishing-Mails zur Installation von Malware zu bewegen, konzentrierten sich die IoT-Bedrohungen auf diese beiden Infektionsvektoren:

Ausnutzung von Schwachstellen bei der Remote-Code-Ausführung

  • Einsatz von Brute-Force-Methoden, um an Zugangsdaten zu gelangen

Der zweite ist leicht zu verhindern, da dieses Vorgehen nur erfolgreich ist, wenn Nutzer die voreingestellten Standardpasswörter ihrer mit dem Internet verbundenen Geräte nicht ändern oder zu schwache Passwörter verwenden.

Weniger vermeidbar sind Bedrohungen, die bekannte Sicherheitslücken in den Geräten ausnutzen. Gerade ältere Smart-Home-Geräte sind anfällig für ungepatchte Sicherheitslücken, die Cyber-Kriminelle nutzen können, um sich unerlaubt Zugang zu einem Heim- oder Firmennetzwerk zu verschaffen.

Ausblick auf die Bedrohungslandschaft 2021

Die Zukunft vorherzusagen ist nicht leicht – schon gar nicht, wenn man die schnelle Anpassungsfähigkeit und den Einfallsreichtum einiger Malware-Autoren berücksichtigt. Dennoch möchten wir hier einen Blick auf mögliche Bedrohungsszenarien für das Jahr 2021 zu werfen.

Eines der großen Themen wird vermutlich die Abkehr von traditioneller Malware in Form von PE-Dateien zugunsten der Verwendung von dateiloser Malware sein. Dateilose Angriffe bieten die Möglichkeit, nur den Arbeitsspeicher eines Geräts mit Malware zu infizieren. Es wird keine „physische" Datei heruntergeladen, was die Erkennung durch herkömmliche Virenschutzprogramme erschwert. 

Ein weiteres Thema, das wir in diesem Bericht bisher noch nicht behandelt haben, sind Exploits (Schwachstellen). Jedes Jahr werden mehr Sicherheitslücken in den gängigen Anwendungen gefunden als im vorangegangen. Da die von uns verwendete Software mit jedem Tag komplexer wird und die Welt sich immer weiter vernetzt, eröffnen sich Exploit-Jägern ständig neue Möglichkeiten zum Aufspüren von Sicherheitslücken. Auch wenn es sich glücklicherweise nicht bei allen Malware-Autoren um diese Schwachstellen-Jäger, nehmen wir an, dass im Jahr 2021 mehr Schwachstellen ausgenutzt werden als je zuvor. 

Zudem findet auch eine organisatorische Verschiebung statt. So verwenden immer mehr Hacker Tools und Malware, die sie nicht selbst geschrieben, sondern von anderen Akteuren erhalten oder gekauft haben. Dies trennt die Lager der „Hacker" und „Malware-Autoren" weiter in verschiedene Gruppen. Natürlich gehen wir auch weiter davon aus, dass bestimmte Organisationen und staatliche Behörden ihre „Werken“ nach wie vor für sich behalten und nur für sehr gezielte Angriffe gegen hochrangige Objekte einsetzen, z. B. indem sie eigene APTs (Advanced Persistent Threats) schreiben und verwenden.

Zusammenfassung

Die Pandemie hatte einen erheblichen Einfluss auf die Malware-Landschaft 2020. Zeitgleich zur ersten und zweiten COVID-19-Welle war jeweils ein sehr starker Anstieg bösartiger Angriffe zu verzeichnen. Im Jahr 2020 haben wir zudem mehr Online-Bedrohungen erfasst, die es gezielt auf die Zugangsdaten von Nutzern abgesehen hatten. Vor allem im Android-Umfeld setzten die Cyber-Kriminellen Schlüsselwörter wie „Corona" und „COVID-19" ein, um unvorsichtige Nutzer zu ködern, und versteckten Spionage-Software in vermeintlich nützlichen Apps wie „Corona-Apps.apk“.

Solange die Pandemie anhält, werden die Malware-Autoren diese globale Tragödie weiter ausnutzen. Daher sollten sich Nutzer im Jahr 2021 besonders vor „Corona“-Malware-Kampagnen in Acht nehmen und bei Klick auf Links und der Installation von Smartphone-Apps vorsichtig sein. Obwohl sich die Android-Bedrohungen hauptsächlich auf bestimmte Regionen wie Afrika oder Südamerika konzentrierten, sollten Android-Nutzer auch in Europa und den Vereinigten Staaten stets wachsam sein.

Die Annahme, macOS sei nicht von Malware betroffen, ist spätestens seit der Zunahme von macOS-Malware im Jahr 2020 widerlegt. Malware-Autoren legen zwar ihren Fokus auf die Vereinigten Staaten als Mac-Markt Nummer eins, aber das Bedrohungsniveau ist in Westeuropa ebenfalls relativ hoch.

Im Jahr 2020 hat sich die Bedrohungslage für IoT-Geräte weiter verschärft. Da Angreifer die Nutzer nicht wie bei Windows oder Android direkt manipulieren können, konzentrieren sie sich auf ungepatchte Sicherheitslücken in den Geräten. Daher sollten Nutzer die Firmware ihrer Geräte regelmäßig aktualisieren und ihre Smart Home-Ausstattung einem Sicherheitscheck unterziehen.

Insgesamt lässt sich festhalten, dass sich Malware-Autoren schnell anpassen. Sie nutzen ungepatchte Software oder Geräte sofort aus und entwickeln ständig neue Malware-Kampagnen. Da Malware mittlerweile komplett mit Anleitung verkauft wird, können auch Ungeübte zu Angreifern werden, was die Zahl potenzieller Akteure noch weiter in die Höhe schnellen lässt.

Important: Your current Windows version is outdated and no longer supported.
For your security, we recommend switching to Windows 10 before downloading Avira software.
Update your Windows version here.
Wichtig: Ihre Windows-Version ist veraltet und wird nicht mehr unterstützt.
Zu Ihrer Sicherheit empfehlen wir Ihnen den Wechsel zu Windows 10 vor dem Download unserer Software.
Hier können Sie Ihr Windows aktualisieren.
Important: Votre version actuelle de Windows est obsolète et n’est plus prise en charge.
Pour votre sécurité, nous vous conseillons de passer à Windows 10 avant de télécharger le logiciel Avira.
Mettez à jour votre version de Windows ici.
Importante: Tu versión actual de Windows está desactualizada y ya no es compatible.
Por tu seguridad, te recomendamos que instales Windows 10 antes de descargar la solución de Avira.
Actualiza aquí tu versión de Windows.
Importante: La tua attuale versione di Windows è obsoleta e non è più supportata.
Per la tua sicurezza, ti consigliamo di passare a Windows 10 prima di scaricare i software Avira.
Aggiorna la tua versione di Windows qui.
Importante: Sua versão atual do Windows está desatualizada e não tem mais suporte.
Para sua segurança, recomendamos que troque para o Windows 10 antes de baixar o software da Avira.
Atualize sua versão do Windows aqui.
Важно: ваша версия Windows устарела и больше не поддерживается.
Из соображений безопасности перед загрузкой ПО Avira мы рекомендуем перейти на Windows 10.
Обновить Windows вы можете здесь.
Belangrijk: Uw huidige versie van Windows is verouderd en wordt niet meer ondersteund.
Voor uw veiligheid adviseren wij u om over te stappen op Windows 10 voordat u de Avira-software downloadt.
Update uw Windows-versie hier.
Önemli: Kullanmakta olduğunuz Windows sürümü eski ve artık desteklenmiyor.
Güvenliğiniz için Avira yazılımını indirmeden önce Windows 10 sürümüne yükseltmenizi öneririz.
Windows sürümünü buradan güncelleyin.
重要 : 現在お使いの Windows バージョンは古いため、サポートされなくなりました。
安全のため、Avira ソフトウェアをダウンロードする前に Windows 10 に切り替えることをお勧めします。
こちらより Windows バージョンをアップデートしてください
重要信息 : 您当前的 Windows 版本已过时,并且不再受支持。
为了安全起见,我们建议您在下载 Avira 软件之前切换到 Windows 10。
在此升级您的 Windows 版本
重要資訊 : 您當前的 Windows 版本已過時,並且不再受支援。
為了安全起見,我們建議您在下載 Avira 軟體之前切換到 Windows 10。
在此升級您的 Windows 版本