Search

EP-4425829-B1 - DAMAGE LIMITATION AFTER MALWARE INFECTION OF A MOBILE TERMINAL CAPABLE OF BEING MOBILE

EP4425829B1EP 4425829 B1EP4425829 B1EP 4425829B1EP-4425829-B1

Inventors

  • HABERKORN, Günter
  • GUMANN, Patrick
  • KELLERMANN, ROBERT

Dates

Publication Date
20260506
Application Date
20230302

Claims (5)

  1. Method for limiting damage after infection of a mobile-capable terminal device MT (1) equipped with computer functionalities with malware, specifically malicious software, wherein the infection of the MT (1) is detected by specially designed network devices (2) of a network operator, specifically the operator of the mobile network, which the user of the MT (1) is authorized to use by means of a subscriber identification module SIM used with the MT (1), wherein data traffic is blocked for the MT (1) affected by the malware infection by using the International Mobile Equipment Identity (IMEI) number determined for this MT (1) by the network devices (2) of the network operator, wherein the method comprises at least the following method steps of: a. determining an infection of the MT (1) by an abuse detection subsystem ADS (2) comprised of the network devices of the network operator when using the mobile network by means of the MT (1) equipped with an activated SIM, b. reporting the infected MT (1) to at least one network device (3) of the network operator designated for this purpose, specifying at least the IMEI of the affected MT (1) and a subscriber ID linked to the SIM card by the ADS, c. generating a blocking request relating to the IMEI of the infected MT (1) by the at least one network device (3) receiving the report about the infected MT, d. generating an IMEI blocking entry, specifically a blocking entry associated with the IMEI of the infected MT (1) in at least one database (6) that must be mandatorily addressed in order to use the mobile network for data transmission by network devices of the network operator, by at least one network device (4) designed for this purpose, e. setting to zero the available data volume for the SIM card used in the MT (1) assigned the IMEI block entry when the MT (1) transmits its IMEI to a mobile network during registration, f. preventing any data traffic linked to an available data volume from and to the MT (1) identifiable by its blocked IMEI for the duration of the existence of the block entry for this IMEI in the at least one database (6) of the network operator.
  2. Method according to claim 1, characterized in that the user of the MT (1) infected with malware is informed of the detected infection by means of an SMS sent to this MT (1), specifically to the mobile phone number associated with the SIM card used in this MT (1).
  3. Method according to claim 2, characterized in that the SMS message informing the user of the detected malware infection also contains a link which, when opened by the user of the infected MT (1), establishes a data connection to a website that can be used even without available data volume, where the user can obtain more detailed information about the infection detected on their MT (1) and/or about ways to remedy it.
  4. Method according to one of claims 1 to 3, characterized in that when attempting to establish a data connection, the MT (1) subject to an IMEI block is redirected to a landing page of the network operator and/or the mobile phone provider issuing the SIM card used with the MT (1) that can be used even without available data volume, on which the user of the MT (1) receives information about the infection detected on his MT (1) and/or about ways of clearing it.
  5. System, specifically a mobile network having a plurality of network devices, wherein these comprise: - network devices for the radio-based connection of mobile-capable terminal devices MT (1) to the mobile network, - network devices for transmitting call data and other data between communication terminal devices comprising at least one MT via the mobile network and for controlling these transmission processes, - network devices for database-supported management of contract and user data, - network devices that form an abuse detection subsystem ADS (2), - network devices that are designed and set up as abuse containment devices AME to process incoming reports of abuse detected by the ADS in order to initiate appropriate measures, - wherein the ADS (2) is designed to detect an infection of an MT (1) when using the mobile network with this MT (1) and to send a message to the AME about a detected infection, specifying the IMEI of the affected MT (1), and that the AME comprise: - at least one network device (3) which is designed and configured to receive reports of infected MTs (1) from the ADS (2) and to generate and send a blocking request relating to the IMEI of each MT (1) reported to it as being affected by an infection, - at least one network device (4) which is designed and configured to generate an IMEI blocking entry in at least one database (6) that must be addressed by network devices of the network operator in order to use the mobile network for data transmission after receiving an IMEI-related blocking request, - at least one network device (5) which is designed and configured to set the available data volume for an MT (1) assigned an IMEI blocking entry in the at least one database (6) of the network operator to zero when it registers with a mobile network, thereby preventing any data traffic to and from this MT (1) that is linked to an available data volume.

Description

Die Erfindung betrifft eine Lösung zur Schadensbegrenzung nach der Infektion eines mit Computerfunktionalitäten ausgestatteten mobilfunkfähigen Endgeräts mit Malware. Sie bezieht sich insbesondere darauf, den Schaden zu begrenzen, der im Falle einer Infektion eines entsprechenden Endgeräts, wie beispielsweise eines Smartphones oder eines mit einem SIM (Subscriber Identity Module) ausgestatteten Tablet-PCs mit einer Schadsoftware entsteht, durch welche dieses Endgerät in ein Botnetz eingegliedert wird. Die nachfolgend vorgestellte technische Lösung ermöglicht es dabei, sowohl den möglichen Schaden für das mit der Malware infizierte mobilfunkfähige Endgerät (im Weiteren verkürzt auch MT für Mobile Terminal) als auch den in der Folge möglichen Schaden für den Netzbetreiber zu begrenzen. Gegenstände der Erfindung sind ein entsprechendes Verfahren und ein zur Durchführung dieses Verfahrens geeignetes System, respektive ein entsprechend ausgebildetes und eingerichtetes Mobilfunknetz. In der Computertechnik sind die Verbreitung von Schadsoftware und der Schutz davor schon seit langem ein Thema. Bereits in der frühen Phase der Entwicklung von Computern, insbesondere von Personal Computern, und ihrer breiten Einführung in die Arbeitswelt und später in den privaten Bereich wurde für die damit befassten Fachleute erkennbar, dass diese Technik auch Möglichkeiten für Betrug und Missbrauch eröffnet. Sehr schnell wurden auch im größeren Umfang entsprechende Möglichkeiten durch daran interessierte, widerrechtlich und zum Teil auch mit großer krimineller Energie handelnde Personen und Personengruppen entwickelt und genutzt. Einen Schub erhielt diese Entwicklung mit der sehr rasch steigenden allgemeinen Nutzung des Internets. Hierbei wurden durch kriminelle Akteure Softwaremechanismen entwickelt, mit deren Hilfe sie eine große Zahl von sich im Internet befindenden Computern zu einem von ihnen fremdgesteuerten Netz, einem Botnetz, zusammenführen konnten. Den Angreifern war es hierdurch möglich, die Rechenkapazität einer großen Zahl in ein derartiges Netz eingegliederter Computer zu bündeln und mittels der daraus resultierenden Gesamtrechenleistung noch mächtigere und komplexere Angriffe gegen die computertechnische Infrastruktur und gegen computertechnische Einrichtungen von Betreibern größerer Netze zu führen. Mit der in den letzten Jahren stark gestiegenen Leistungsfähigkeit von Mobilfunkgeräten und deren Ausstattung mit Computerfunktionalitäten sowie durch die immer umfänglicher werdende Nutzung von Internetanwendungen mit derartigen Geräten, wie beispielsweise des Onlinebanking, rückten mobilfunkfähige Endgeräte MT auch zunehmend stärker in den Fokus von Betrügern und anderen, Schadsoftware mit unterschiedlichster Motivation in den Umlauf bringenden Personen. Daher steigt auch die Zahl mit Schadsoftware infizierter mobilfunkfähiger Endgeräte ständig an. Mögliche Wege für die Infektion solcher Endgeräte sind beispielsweise betrügerische SMS-Nachrichten (Smishing SMS) oder auch unsichere externe Quellen für den Bezug mit derartigen Geräten nutzbarer Software. Wird infolge der Infektion eines MT mit einer Schadsoftware, durch welche das betreffende Endgerät beispielsweise in ein Botnetz eingegliedert wird, durch dafür ausgebildete Netzwerkeinrichtungen eines Netzbetreibers ein ungewöhnlicher Datenverkehr in Bezug auf dieses MT detektiert, stehen zwischenzeitlich automatisierte technische Mechanismen zur Verfügung, um einerseits den Nutzer eines mit einer Schadsoftware infizierten MT hierauf aufmerksam zu machen und andererseits technische Prozesse zu initiieren, welche darauf abzielen, den daraus möglicherweise resultierenden Folgeschaden zu beschränken. Was die Frage der Erkennung eines ungewöhnlichen Datenverkehrs anbelangt, so kann sich dies beispielsweis auf die Menge eingehenden und ausgehenden Datenverkehrs, also insbesondere auf ein gegenüber vorausgegangenen Nutzungszeiträumen auffällig erhöhtes Datenvolumen, beziehen. Darüber hinaus können aber auch eine plötzliche Trendänderung bei der Nutzung von Diensten mit dem MT und/oder eine Veränderung bei Datennutzungssignaturen häufig ziemlich eindeutig auf eine Infektion des MT mit einer Malware hinweisen. Schließlich stellt aber selbstverständlich auch die Herstellung von Verbindungen zwischen dem MT und einer dem Mobilfunknetzbetreiber bekannten C2-IP-Adresse, also der Adresse eines für Missbrauchsaktivitäten genutzten Command and Control Servers ein untrügliches Anzeichen für eine Infektion dar. So werden durch mit Schadsoftware infizierte Mobilfunkgeräte beispielsweise häufig massenweise SMS-Nachrichten an andere Mobilfunkteilnehmer, insbesondere an Mobilfunkteilnehmer, respektive an Mobilfunknummern, die in einem Adressbuch des betroffenen MT gespeichert sind, versendet. Derartige SMS-Nachrichten können, zum Beispiel mittels eines in ihnen enthaltenen Links, dazu führen, weitere mobilfunkfähige Endgeräte in das Botnetz einzugliedern, sofern deren Nutzer den betreffen