Symantec hat eine neue Variante der Android-Erpressersoftware Lockdroid entdeckt. Sie nutzt Googles mit Android 5 Lollipop eingeführte Designsprache Material Design für einen Sperrbildschirm, der Nutzer einschüchtern und davon überzeugen soll, dass ihr Gerät aufgrund illegaler Aktivitäten gesperrt wurde.
Der neue Sperrbildschirm der Ransomware wirkt laut Symantec „sauberer und professioneller“. Er zeige zudem, ebenfalls im Material Design, zuvor auf dem Gerät gesammelte persönliche Daten des Nutzers an, die sich über ein leicht zugängliches Menü aufrufen lassen. „Diese Elemente helfen der Ransomware, ein Opfer einzuschüchtern, damit es bezahlt“, schreibt der Symantec-Mitarbeiter Dinesh Venkatesan in einem Blogeintrag.
Nach ihrer Installation beziehungsweise bei ihrem ersten Start rufe die Malware alle zu dem Zeitpunkt verfügbaren Log-Dateien ab, darunter Anruf- und SMS-Listen und den Browserverlauf. Danach werde das Gerät gesperrt und die Lösegeldforderung eingeblendet, die behauptet, der Nutzer habe auf illegale Inhalte zugegriffen und sein Gerät sei von einer Strafverfolgungsbehörde gesperrt worden. Die zuvor gesammelten Nutzerdaten sollen als Beweis für die illegalen Aktivitäten dienen.
„Auch andere Ransomware-Familien haben früher schon Log-Dateien wie SMS- und Anruflisten ausgelesen. Wir haben allerdings noch keine Ransomware gesehen, die diese Log-Dateien mithilfe des Material Design für das Opfer leicht zugänglich macht“, ergänzte Venkatesan.
Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.
Den Lockscreen selbst haben die Hintermänner von Lockdroid mithilfe des Open-Source-Projects MaterialDrawer kreiert. „Es sollte angemerkt werden, dass die Entwickler von MaterialDrawer nicht vorgesehen haben, dass ihre Arbeit für betrügerische Zwecke benutzt wird. Die Verfasser der Ransomware haben das Layout benutzt wie jeder andere legitime App-Entwickler.“
Symantec weist darauf hin, dass sich Lockdroid nicht im offiziellen Google Play Store findet. Die Schadsoftware tarne sich stattdessen als legitime Video-App, die über inoffizielle Marktplätze angeboten werde. Darüber hinaus könne ein Nutzer auch eine kostenlose Software auf seinen Computer laden, die wiederum einen Browser-Hijacker enthalte, der Suchergebnisse des Nutzers abfange und ihn auf Seiten weiterleite, die die Ransomware für Android hosten.
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
