Die ACDC Partner XLAB haben im Rahmen des European Cyber Defence Center eine Android-App entwickelt, welche bösartige Aktivitäten auf dem Smartphone überwacht, meldet und dokumentiert. Der kostenfreie “XLAB Device Monitor” hält einige nützliche Features bereit, die den Nutzer im sicheren Umgang mit dem Handy unterstützen soll.
Cyber-Bedrohung durch Botnetze breiten sich zunehmend aus, auch mobile Geräte werden nicht verschont. Das Sicherheitsunternehmen XLAB hat aus erlangten Erfahrungen der verschiedensten bösartigen Angriffstechniken auf Rescourcen im Desktopbereich, verschiedene ausgeklügelte Detektoren entwickelt, die diverse Angriffe gezielt auf mobilen Geräte nachweisen und dokumentieren (SMS -Hijack, bösartige URLs, Aufdeckung von Hauptschlüssel-Exploits) können. Hauptmerkmale des Tools liegt in der Sicherheit des Gerätes durch Meldung und Dokumentation von bösartigen Aktivitäten.
Hauptmerkmale der App:

  • Überwacht den Netzwerkverkehr und das HTTP Protokoll, hier werden alle unbekannten Netzverbindungen zum Endpoint bzw. bösartigen Seitenaufrufe im Browser erkannt und gemeldet.
  • Erkennt Hauptschlüssel-Exploits
  • Applikationen (APK) auf dem Gerät werden mit auf den Datenbanken des Herstellers hinterlegten Informationen abgeglichen, die Privilegien überprüft und übersichtlich im Ampelsystem klassifiziert.
  • Überwacht und protokolliert bösartige SMS Nachrichten (SMS-Hijack, Spam, C&C Steuernachrichten).
  • Protokolliert und erkennt potentiell bösartige Ereignisse auf dem Gerät (z.B. MAC, IMEI-Spoofing)

Nach Download und Installation des XLAB Device Monitor aus dem “Google Play-Store”  empfängt uns die Applikation, nach kurzer Registrierung, im Optimalfall mit “Safe” – No Threads detected. Werden verdächtige Aktionen von dem Tool gefunden, erscheinen diese, wie in der Abbildung 1 zu sehen, auf dem Hauptscreen des Tools bzw. werden in der oberen Informationsleiste des Handys gemeldet.

Bildschirmfoto 2015-03-05 um 14.14.10

Abb.1 Hauptscreen

Über den linken Button neben dem Homebutton lassen sich weitere Optionen wie “Advanced Status”, “Event Viewer”, “Application List” und “Settings” aufrufen.
Im “Advanced Status” werden vier Reiter “NETWORK”, “CALLS”, “CPU” und “SMS”angezeigt. Nach kurzer Überprüfung des Handys werden detailliert und übersichtlich, alle Vorgänge auf dem Gerät in den jeweiligen Rubriken protokolliert.
dm_advance

Advanced Status

Wählt man die Option “Application List” werden alle Anwendungen auf dem Handy  gelistet und mit auf dem Server des Herstellers gespeicherten Informationen über diese Anwendungen synchronisiert. Ausgehender Datenverkehr und die Zielpunkte von Verbindungen werden mit Informationen über schädliche Web- und Malwareseiten, welche von Datenbanken der zentralen Clearingstelle des ACDC-Projekts bereitgestellt werden, abgeglichen. Je nach erlangten Vertrauensstatus, werden die Anwendungen verschiedenfarbig aufgelistet. Sehr schön ist, dass man jede Anwendung in der Liste anwählen kann und Informationen über die App, bis zu den bei der Installation genehmigten Zugriffsrechten der Applikation erhält. Darüber hinaus lassen sich die Anwendungen zu den vertrauten Applikationen kategorisieren.
dm_application

Applikationen – Übersicht

Werden Probleme über den Device Monitor gefunden und gemeldet, kann man über die Option “Event Viewer” zusätzliche interne Informationen des Vorfalls einsehen. Bei der Option “Settings” werden die Einstellungen des Tools, Auswahl des Standard-Browser und diverse andere Optionen individuell festgelegt.
Fazit:
Der XLAB Device Monitor ist ein Monitoring-Tool, welches mein System im Hintergrund überwacht und bei bösartigen Kommunikation, egal ob über Internet, Netzwerk bzw. Anruf und SMS zuverlässig Meldung macht. Zudem werden neue Installationen und bestehende Programme auf bekannte Schadfunktionen und Zugriffsrechte überprüft. Was braucht man mehr? Das Tool ist komplett in englisch gehalten und kann über Google Play kostenfrei auf das Android-Gerät heruntergeladen und installieren werden.
Über das Projekt:
Advanced Cyber ​​Defence Center – Europa vereint sich im Kampf gegen Botnetze
Das Pilot-Projekt ACDC, bestehend aus 28 Partnern aus 14 europäischen Ländern, gibt es seit Februar 2013. Es vereint Organisation aus allen Bereichen der Wirtschaft und Forschung und verfolgt dabei einen ganzheitlichen Ansatz im Kampf gegen Botnetze. Die ACDC Community ermöglicht es den Partnern untereinander Daten, Sensoren und Tools auszutauschen, um so die Erkennung von Botnetzen voranzutreiben. Neben den Support Zentren in Frankreich, Italien, Spanien, Belgien, Kroatien, Portugal und Rumänien nimmt für Deutschland botrei.de, ein Service von eco – Verband der deutschen Internetwirtschaft e. V., an dem Projekt teil.
Zur ACDC- Webseite: www.acdc-project.eu
Zum ACDC Community Portal: https://communityportal.acdc-project.eu/