Categories: SicherheitVirus

Neue Android-Ransomware trickst Antivirensoftware aus

Zscaler hat eine neue Ransomware für Googles Mobilbetriebssystem Android entdeckt. Erschreckend sei, dass die Erpressersoftware bei Tests von keiner Antivirensoftware erkannt worden sei, schreiben die Sicherheitsforscher Gaurav Shinde und Viral Gandhi im Zscaler-Blog. Sie ist aber auch ein Beispiel dafür, dass eine Lösegeldzahlung nicht automatisch dazu führt, dass die Cyberkriminellen ein infiziertes Android-Smartphone freigeben.

Die neue Ransomware nimmt derzeit vor allem Nutzer in Russland ins Visier und versteckt sich in dort beliebten Apps wie der App des Social Network OK. Die legitime Version dieser App zähle alleine im Google Play Store zwischen 50 und 100 Millionen Installationen – die dort angebotene Version sei auch nicht infiziert. Die von dieser Malware benutzten Techniken erhöhten jedoch die Wahrscheinlichkeit, dass es der Schadcode in den Play Store schaffe.

Die von Zscaler entdeckte Android-Ransomware versucht unter anderem, sich als Geräteadministrator einzurichten (Screenshots: Zscaler).Derzeit werde die Ransomware jedoch ausschließlich über andere Quellen vertrieben. Nach einer Infektion verhalte sich die Malware die ersten vier Stunden still, was es der Original-App erlaube, ohne Einschränkungen zu funktionieren. Auch wenn eine Antivirensoftware die App starte, um sie zu überprüfen, bleibe der Schadcode mindestens vier Stunden inaktiv. Da die Malware zudem verschiedene Techniken zur Codeverschleierung einsetzte, sei auch eine statische Analyse erfolglos.

Nach Ablauf der vier Stunden wird das Opfer aufgefordert, die infizierte legitime App als Geräteadministrator einzurichten. „Selbst wenn der Nutzer den ‚Abbrechen‘-Button drückt, erscheint die Meldung sofort wieder, was verhindert, dass der Nutzer andere Eingaben macht oder die App deinstalliert“, heißt es in dem Blogeintrag. „Sobald der Nutzer den ‚Aktivieren‘-Button drückt, wird der Bildschirm gesperrt und eine den Bildschirm ausfüllende Lösegeldforderung eingeblendet.“

Als Geräteadministrator erhält die Ransomware die Berechtigung, den Bildschirm zu sperren und das Passwort zum Entsperren des Displays zu ändern. Zudem kann die App nun jegliche Entsperrversuche überwachen und auch ein Ablaufdatum für das Gerätepasswort einrichten.

Die Hacker fordern ein vergleichsweise geringes Lösegeld von 500 Rubel, was etwa 8,30 Euro entspricht. Zudem drohen sie, nach Ablauf von zwölf Stunden per SMS alle Kontakte des Opfers darüber zu informieren, dass das Smartphone für den Konsum von Pornografie benutzt wurde.

Allerdings nehme die Ransomware gar keinen Kontakt zu einem Server im Internet auf, um beispielsweise abzufragen, ob das Lösegeld bezahlt wurde. Sie sei außerdem nicht in der Lage, die Gerätesperre wieder aufzuheben, oder auf Kontakte zuzugreifen und SMS zu verschicken, ergänzten die Forscher.

Da die neue Ransomware keine Dateien verschlüsselt und auch keine Sicherheitslücken ausnutzt, kann sie recht einfach und in der Regel auch ohne Datenverlust entfernt werden. Betroffene Nutzer müssen ihr Smartphone lediglich im sicheren Modus starten, bei dem jegliche Apps von Drittanbietern deaktiviert werden. Danach können sie den Geräteadministrator der App abschalten und die App selbst deinstallieren.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

1 Tag ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

4 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

5 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

5 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

5 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

6 Tagen ago