Symantec hat eine neue Variante der Android-Erpressersoftware Lockdroid entdeckt. Sie nutzt Googles mit Android 5 Lollipop eingeführte Designsprache Material Design für einen Sperrbildschirm, der Nutzer einschüchtern und davon überzeugen soll, dass ihr Gerät aufgrund illegaler Aktivitäten gesperrt wurde.
Der neue Sperrbildschirm der Ransomware wirkt laut Symantec „sauberer und professioneller“. Er zeige zudem, ebenfalls im Material Design, zuvor auf dem Gerät gesammelte persönliche Daten des Nutzers an, die sich über ein leicht zugängliches Menü aufrufen lassen. „Diese Elemente helfen der Ransomware, ein Opfer einzuschüchtern, damit es bezahlt“, schreibt der Symantec-Mitarbeiter Dinesh Venkatesan in einem Blogeintrag.
Nach ihrer Installation beziehungsweise bei ihrem ersten Start rufe die Malware alle zu dem Zeitpunkt verfügbaren Log-Dateien ab, darunter Anruf- und SMS-Listen und den Browserverlauf. Danach werde das Gerät gesperrt und die Lösegeldforderung eingeblendet, die behauptet, der Nutzer habe auf illegale Inhalte zugegriffen und sein Gerät sei von einer Strafverfolgungsbehörde gesperrt worden. Die zuvor gesammelten Nutzerdaten sollen als Beweis für die illegalen Aktivitäten dienen.
„Auch andere Ransomware-Familien haben früher schon Log-Dateien wie SMS- und Anruflisten ausgelesen. Wir haben allerdings noch keine Ransomware gesehen, die diese Log-Dateien mithilfe des Material Design für das Opfer leicht zugänglich macht“, ergänzte Venkatesan.
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
Den Lockscreen selbst haben die Hintermänner von Lockdroid mithilfe des Open-Source-Projects MaterialDrawer kreiert. „Es sollte angemerkt werden, dass die Entwickler von MaterialDrawer nicht vorgesehen haben, dass ihre Arbeit für betrügerische Zwecke benutzt wird. Die Verfasser der Ransomware haben das Layout benutzt wie jeder andere legitime App-Entwickler.“
Symantec weist darauf hin, dass sich Lockdroid nicht im offiziellen Google Play Store findet. Die Schadsoftware tarne sich stattdessen als legitime Video-App, die über inoffizielle Marktplätze angeboten werde. Darüber hinaus könne ein Nutzer auch eine kostenlose Software auf seinen Computer laden, die wiederum einen Browser-Hijacker enthalte, der Suchergebnisse des Nutzers abfange und ihn auf Seiten weiterleite, die die Ransomware für Android hosten.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…