Symantec hat eine neue Variante der Android-Erpressersoftware Lockdroid entdeckt. Sie nutzt Googles mit Android 5 Lollipop eingeführte Designsprache Material Design für einen Sperrbildschirm, der Nutzer einschüchtern und davon überzeugen soll, dass ihr Gerät aufgrund illegaler Aktivitäten gesperrt wurde.
Der neue Sperrbildschirm der Ransomware wirkt laut Symantec „sauberer und professioneller“. Er zeige zudem, ebenfalls im Material Design, zuvor auf dem Gerät gesammelte persönliche Daten des Nutzers an, die sich über ein leicht zugängliches Menü aufrufen lassen. „Diese Elemente helfen der Ransomware, ein Opfer einzuschüchtern, damit es bezahlt“, schreibt der Symantec-Mitarbeiter Dinesh Venkatesan in einem Blogeintrag.
Nach ihrer Installation beziehungsweise bei ihrem ersten Start rufe die Malware alle zu dem Zeitpunkt verfügbaren Log-Dateien ab, darunter Anruf- und SMS-Listen und den Browserverlauf. Danach werde das Gerät gesperrt und die Lösegeldforderung eingeblendet, die behauptet, der Nutzer habe auf illegale Inhalte zugegriffen und sein Gerät sei von einer Strafverfolgungsbehörde gesperrt worden. Die zuvor gesammelten Nutzerdaten sollen als Beweis für die illegalen Aktivitäten dienen.
„Auch andere Ransomware-Familien haben früher schon Log-Dateien wie SMS- und Anruflisten ausgelesen. Wir haben allerdings noch keine Ransomware gesehen, die diese Log-Dateien mithilfe des Material Design für das Opfer leicht zugänglich macht“, ergänzte Venkatesan.
Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
Den Lockscreen selbst haben die Hintermänner von Lockdroid mithilfe des Open-Source-Projects MaterialDrawer kreiert. „Es sollte angemerkt werden, dass die Entwickler von MaterialDrawer nicht vorgesehen haben, dass ihre Arbeit für betrügerische Zwecke benutzt wird. Die Verfasser der Ransomware haben das Layout benutzt wie jeder andere legitime App-Entwickler.“
Symantec weist darauf hin, dass sich Lockdroid nicht im offiziellen Google Play Store findet. Die Schadsoftware tarne sich stattdessen als legitime Video-App, die über inoffizielle Marktplätze angeboten werde. Darüber hinaus könne ein Nutzer auch eine kostenlose Software auf seinen Computer laden, die wiederum einen Browser-Hijacker enthalte, der Suchergebnisse des Nutzers abfange und ihn auf Seiten weiterleite, die die Ransomware für Android hosten.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
4 Kommentare zu Symantec warnt vor neuer Erpressersoftware für Android
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Damit verliert Android praktisch einen der Vorteile – die Möglichkeit andere App Stores zu nutzen: „Symantec weist darauf hin, dass sich Lockdroid nicht im offiziellen Google Play Store findet. Die Schadsoftware tarne sich stattdessen als legitime Video-App, die über inoffizielle Marktplätze angeboten werde.“
Wer nun außerhalb des Play Stores shoppen geht, der geht unnötige Risiken ein. Das sollte gut überlegt sein.
was würden wir nur ohne deine weisen ratschläge tun?
ich habe auch einen an die äpfel:
„Wer außerhalb des Play Stores shoppen geht, der geht unnötige Risiken ein.“ das habe ich mal iwo gelesen.
und noch ein tip von mir:
wer nach china will, sollte sich seine gespeicherten mac news vorher ausdrucken.
Der Artikel ist interresant aber nicht nützlich.
Es fehlt schlussendlich die Beschreibung, wie man aus der Falle heraus kommt, oder haben ich etwas übersehen?
Leider enthält der Blogbeitrag von Symantec keine Informationen dazu. Über die Suche auf der Symantec-Webseite gelangt man zu dieser Seite http://www.symantec.com/security_response/earthlink_writeup.jsp?docid=2014-103005-2209-99. Den dortigen Informationen zufolge soll eine einfache Deinstallation des entsprechenden Programms ausreichen. Gängige Antiviren-Programme sollen den Schädling ebenfalls aufspüren und beseitigen können.