Zum Hauptinhalt springen

Was ist eine Zero-Click-Malware und wie funktioniert sie?

In den letzten Jahren haben Zero-Click-Angriffe immer wieder Schlagzeilen gemacht. Wie der Name schon sagt, erfordern Zero-Click-Angriffe keine Aktion des Opfers – was bedeutet, dass selbst sehr erfahrene Benutzer ernsthaften Cyberhacks und Spyware-Tools zum Opfer fallen können.

Zero-Click-Angriffe sind in der Regel sehr zielgerichtet und gehen äußerst raffiniert vor. Sie können verheerende Folgen haben, ohne dass das Opfer überhaupt bemerkt, dass im Hintergrund etwas schiefläuft. Die Begriffe „Zero-Click-Angriffe“ und „Zero-Click-Exploits“ werden häufig synonym verwendet. Gelegentlich werden sie auch als interaktionslose oder komplett ferngesteuerte Angriffe bezeichnet.

Was ist eine Zero-Click-Malware?

Damit sich eine Spionagesoftware auf einem Telefon, Tablet oder Computer installieren kann, muss normalerweise die Zielperson dazu verleitet werden, auf einen schädlichen Link zu klicken oder eine infizierte Datei zu öffnen. Bei einem Zero-Click-Angriff dagegen nistet sich die Software ohne jegliches Zutun der Opfer auf deren Gerät ein. Das macht Zero-Click- oder No-Click-Malware so gefährlich.

Die geringere Interaktion bei Zero-Click-Angriffen bedeutet außerdem, dass die schädlichen Aktivitäten kaum Spuren hinterlassen. Zusammen mit der Tatsache, dass die Schwachstellen, die Cyberkriminelle für Zero-Click-Angriffe ausnutzen können, relativ selten sind, macht sie für Angreifer besonders wertvoll.

Selbst die einfachsten Zero-Click-Angriffe hinterlassen so gut wie keine Spuren, was ihre Erkennung erheblich erschwert. Hinzu kommt, dass dieselben Funktionen, die Software sicherer machen sollen, oft dazu führen, dass Zero-Click-Angriffe schwerer zu erkennen sind.  Zero-Click-Angriffe gibt es schon seit Jahren, aber vor allem der rasante Anstieg der Smartphone-Nutzung und die Fülle der persönlichen Daten, die darauf gespeichert werden, haben das Problem noch weiter verschärft. Je mehr sich Privatpersonen und Unternehmen auf mobile Geräte verlassen, desto wichtiger wird die Aufklärung über Zero-Click-Schwachstellen.

Wie funktioniert ein Zero-Click-Angriff?

Normalerweise kann ein mobiles Gerät aus der Ferne nur unterwandert werden, wenn sich der Besitzer mittels Social Engineering-Taktiken dazu bringen lässt, einen schädlichen Link anzuklicken oder ein Schadprogramm zu installieren, das dem Angreifer als Einstiegspunkt dient. Bei Zero-Click-Angriffen ist das anders, sie kommen komplett ohne Social Engineering aus.

Stattdessen gehen sie gezielt über eine Lücke bei der Datenüberprüfung des Geräts. Die meisten Programme nutzen bei der Cyberabwehr ein Verfahren zur Datenüberprüfung. Allerdings gibt es immer wieder Zero-Day-Schwachstellen, die noch nicht geschlossen wurden und damit zum Einfallstor für Cyberkriminelle werden können. Raffinierte Hacker nutzen diese Zero-Day-Schwachstellen, um eine Schadsoftware ganz ohne Ihr Zutun einzuschleusen.

Häufig zielen Zero-Click-Angriffe auf Programme ab, die Messaging oder Sprachanrufe anbieten, da diese Dienste in der Regel Daten aus nicht vertrauenswürdigen Quellen empfangen und auswerten müssen. Angreifer verwenden in der Regel spezielle Datenformen wie z. B. eine versteckte Textnachricht oder Bilddatei, um das Zielgerät mit ihrem Schadcode zu infizieren.

Ein hypothetischer Zero-Click-Angriff könnte zum Beispiel folgendermaßen ablaufen:

  • Cyberkriminelle entdecken eine Sicherheitslücke in einer E-Mail- oder Messaging-App.
  • Sie nutzen sie aus, indem sie eine sorgfältig ausgearbeitete Nachricht an das Zielgerät senden.
  • Die Sicherheitslücke bietet den Schadakteuren eine Möglichkeit, E-Mails einzuschleusen, die viel Speicherplatz beanspruchen.
  • Dabei verbleibt die E-Mail, die Nachricht oder der Anruf des Hackers meist nicht auf dem Gerät.
  • Nach erfolgtem Angriff können die Cyberkriminellen Nachrichten lesen, bearbeiten, weitergeben oder löschen.

Der Hackerangriff kann aus einer ganzen Reihe von Netzwerkpaketen, Authentifizierungsanfragen, Textnachrichten, MMS, Sprachnachrichten, Videokonferenzsitzungen, Telefonanrufen oder über Skype, Telegram, WhatsApp usw. gesendeten Nachrichten bestehen. Sie alle können eine Schwachstelle im Code eines Programms ausnutzen, das für die Verarbeitung der Daten zuständig ist.

Und dass die Nutzer von Messaging-Apps anhand ihrer Telefonnummern leicht zu orten sind, macht sie sowohl für politisch als auch kommerziell motivierte Hacking-Angriffe interessant.

Wie ein Zero-Click-Angriff im Einzelnen ausgestaltet ist, hängt von der Sicherheitslücke ab, die dabei ins Visier genommen wird. Ein wesentliches Merkmal von Zero-Click-Hacks ist, dass sie keine Spuren hinterlassen und daher sehr schwer zu erkennen sind. Deshalb lässt sich auch nicht ohne Weiteres festzustellen, wer dahinter steckt und warum. Man geht allerdings davon aus, dass Geheimdienste auf der ganzen Welt sie nutzen, um Nachrichten von mutmaßlichen Kriminellen und Terroristen abzufangen und entsprechende Bewegungsprofile zu erstellen.

Zero-Click-Exploits können mit einer scheinbar harmlosen Nachricht oder einem verpassten Anruf beginnen.

Beispiele für Zero-Click-Malware

Eine Zero-Click-Schwachstelle kann alle möglichen Geräte betreffen, von Apple bis Android. Zu den bekanntesten Beispielen für Zero-Click-Angriffe gehören:

Apple Zero-Click, erzwungener Zugang, 2021:

Im Jahr 2021 wurde das iPhone eines Menschenrechtsaktivisten aus Bahrain durch eine leistungsstarke Spionagesoftware gehackt, die an Nationalstaaten verkauft wird. Bei dem Hackerangriff, den Forscher bei Citizen Lab aufdeckten, wurden die Sicherheitsfunktionen ausgehebelt, die Apple speziell zu dem Zweck eingerichtet hatte, um versteckte Manipulationen abzuwehren.

Citizen Lab ist ein interdisziplinäres Labor an der Universität von Toronto, das sich u. a. der Überwachung des Internets verschrieben hat. Sie analysierten das iPhone 12 Pro des Aktivisten und stellten fest, dass es über einen Zero-Click-Angriff gehackt worden war. Dabei nutzten die Angreifer eine bisher unbekannte Sicherheitslücke in Apples iMessage aus, um die von der israelischen Firma NGO Group entwickelte Spionagesoftware Pegasus auf das Telefon des Aktivisten zu schleusen.

Der Angriff machte vor allem deshalb Schlagzeilen, weil er die neueste iPhone-Software betraf, sowohl iOS 14.4 als auch dessen von Apple im Mai 2021 veröffentlichte Nachfolger iOS 14.6. Die Hacker-Software überwand die in alle Versionen von iOS 14 implementierte Softwarefunktion BlastDoor, eine Sicherheitsfunktion, die eigentlich diese Art von Gerätehacks verhindern sollte, indem sie über iMessage gesendete Schaddaten herausfiltert. Angelehnt an seine Fähigkeit, den Zugang über BlastDoor zu erzwingen, wurde der Angriff später FocedEntry genannt. Als Reaktion darauf besserte Apple mit iOS 15 bei seinen Sicherheitsmaßnahmen nach.

Erfolgreicher Angriff auf WhatsApp, 2019:

Diese berüchtigte Sicherheitsverletzung wurde durch einen verpassten Anruf ausgelöst, wobei als Einfallstor eine Schwachstelle im WhatsApp-Quellcode diente. Ein Zero-Day-Exploit, d. h. eine bis dahin unbekannte und noch nicht geschlossene Systemschwachstelle, ermöglichte es dem Angreifer, Spyware in die Daten einzuschleusen, die aufgrund eines nicht angenommenen Anrufs zwischen den zwei Geräten ausgetauscht wurden. Die Spyware konnte sich daraufhin als Hintergrundressource tief in die Systemsoftware des Geräts einnisten.

Jeff Bezos, 2018:

Im Jahr 2018 erhielt Amazon-CEO Jeff Bezos vom saudischen Kronprinz Mohammed bin Salman eine WhatsApp-Nachricht mit einem Werbevideo für den saudi-arabischen Telekommunikationsmarkt. Berichten zufolge enthielt die Videodatei einen Code, der den Absender über mehrere Monate hinweg mit Informationen aus dem iPhone von Bezos versorgte. Dabei wurden Textnachrichten, Sofortnachrichten und E-Mails und eventuell sogar Mitschnitte, die über das Handy-Mikrofon aufgezeichnet worden waren, weitergeleitet.

Projekt Raven, 2016:

Project Raven ist die Bezeichnung für eine geheime Aufklärungseinheit der Vereinten Arabischen Emirate, in der neben den eigenen Sicherheitsbeamten auch ehemalige US-Geheimdienstmitarbeiter als Söldner tätig waren. Mithilfe eines Tools namens Karma sollen sie eine Schwachstelle in iMessage ausgenutzt haben. Karma wurde über speziell gestaltete Textnachrichten in die iPhones von Aktivisten, Diplomaten und politischen Rivalen im Ausland eingeschleust, um Fotos, E-Mails, Textnachrichten und Standortinformationen abzugreifen.

So schützen Sie sich vor Zero-Click-Angriffen

Da Zero-Click-Angriffe ohne die Interaktion ihrer Opfer auskommen, gibt es nicht viel, das Sie tun können, um sich zu schützen. Das ist zwar ein beängstigender Gedanke, aber man darf nicht vergessen, dass diese Angriffe in der Regel sehr gezielt eingesetzt werden, um bestimmte Personen auszuspionieren oder sich vielleicht einen finanziellen Vorteil zu verschaffen.

Nichtsdestotrotz ist gute Cyberhygiene grundsätzlich immer dazu geeignet, Ihre Online-Sicherheit zu maximieren. Die folgenden sinnvollen Maßnahmen können Sie ergreifen:

  • Folgen Sie den Aufforderungen zur Aktualisierung Ihres Betriebssystems, der Firmware und der Programme, um alle Ihre Geräten auf dem neuesten Stand zu halten.
  • Laden Sie Apps nur aus offiziellen Stores herunter.
  • Löschen Sie Apps, wenn Sie sie nicht mehr benötigen.
  • Vermeiden Sie ein „Jailbreaking“ oder „Rooting“ Ihres Telefons, da dadurch der von Apple und Google bereitgestellte Schutz aufgehoben wird.
  • Verwenden Sie den Passwortschutz Ihres Geräts.
  • Nutzen Sie für den Zugriff auf Konten, insbesondere auf kritische Netzwerke, stets eine starke Authentifizierung.
  • Verwenden Sie sichere Passwörter, d. h. lange und eindeutige Passwörter.
  • Legen Sie in regelmäßigen Abständen Backups für Ihre Systeme an. Im Fall eines Ransomware-Angriffs können Ihre Systeme darüber wiederhergestellt werden und dieser Prozess geht um so schneller, je aktueller und vollständiger die Sicherungsdaten sind.
  • Aktivieren Sie einen Popup-Blocker oder stellen Sie Ihren Browser so ein, dass Popup-Fenster unterdrückt werden. Betrüger verwenden häufig Popup-Fenster, um Malware zu verbreiten.

Auch ein umfassendes Antiviren-Programm trägt zu Ihrer Sicherheit im Internet bei. Kaspersky Total Security ist rund um die Uhr im Einsatz, um Sie vor Hackern, Viren und Malware zu schützen, und bietet darüber hinaus noch einen Zahlungsschutz sowie Tools zum Schutz Ihrer Privatsphäre. Kaspersky Internet Security für Android bietet darüber hinaus umfassenden Schutz für Ihr Android-Gerät.

Verwandte Artikel:

Was ist eine Zero-Click-Malware und wie funktioniert sie?

Zero-Click-Spyware ist ein bösartiger Hackerangriff, für dessen Ausführung keinerlei Interaktion durch den Benutzer erforderlich ist. Zero-Click-Schwachstellen, wie ein Zero-Click-Angriff funktioniert und wie Sie sich davor schützen können.
Kaspersky logo

Weitere interessante Artikel: