Categories: SicherheitVirus

Neue Android-Ransomware trickst Antivirensoftware aus

Zscaler hat eine neue Ransomware für Googles Mobilbetriebssystem Android entdeckt. Erschreckend sei, dass die Erpressersoftware bei Tests von keiner Antivirensoftware erkannt worden sei, schreiben die Sicherheitsforscher Gaurav Shinde und Viral Gandhi im Zscaler-Blog. Sie ist aber auch ein Beispiel dafür, dass eine Lösegeldzahlung nicht automatisch dazu führt, dass die Cyberkriminellen ein infiziertes Android-Smartphone freigeben.

Die neue Ransomware nimmt derzeit vor allem Nutzer in Russland ins Visier und versteckt sich in dort beliebten Apps wie der App des Social Network OK. Die legitime Version dieser App zähle alleine im Google Play Store zwischen 50 und 100 Millionen Installationen – die dort angebotene Version sei auch nicht infiziert. Die von dieser Malware benutzten Techniken erhöhten jedoch die Wahrscheinlichkeit, dass es der Schadcode in den Play Store schaffe.

Die von Zscaler entdeckte Android-Ransomware versucht unter anderem, sich als Geräteadministrator einzurichten (Screenshots: Zscaler).Derzeit werde die Ransomware jedoch ausschließlich über andere Quellen vertrieben. Nach einer Infektion verhalte sich die Malware die ersten vier Stunden still, was es der Original-App erlaube, ohne Einschränkungen zu funktionieren. Auch wenn eine Antivirensoftware die App starte, um sie zu überprüfen, bleibe der Schadcode mindestens vier Stunden inaktiv. Da die Malware zudem verschiedene Techniken zur Codeverschleierung einsetzte, sei auch eine statische Analyse erfolglos.

Nach Ablauf der vier Stunden wird das Opfer aufgefordert, die infizierte legitime App als Geräteadministrator einzurichten. „Selbst wenn der Nutzer den ‚Abbrechen‘-Button drückt, erscheint die Meldung sofort wieder, was verhindert, dass der Nutzer andere Eingaben macht oder die App deinstalliert“, heißt es in dem Blogeintrag. „Sobald der Nutzer den ‚Aktivieren‘-Button drückt, wird der Bildschirm gesperrt und eine den Bildschirm ausfüllende Lösegeldforderung eingeblendet.“

Als Geräteadministrator erhält die Ransomware die Berechtigung, den Bildschirm zu sperren und das Passwort zum Entsperren des Displays zu ändern. Zudem kann die App nun jegliche Entsperrversuche überwachen und auch ein Ablaufdatum für das Gerätepasswort einrichten.

Die Hacker fordern ein vergleichsweise geringes Lösegeld von 500 Rubel, was etwa 8,30 Euro entspricht. Zudem drohen sie, nach Ablauf von zwölf Stunden per SMS alle Kontakte des Opfers darüber zu informieren, dass das Smartphone für den Konsum von Pornografie benutzt wurde.

Allerdings nehme die Ransomware gar keinen Kontakt zu einem Server im Internet auf, um beispielsweise abzufragen, ob das Lösegeld bezahlt wurde. Sie sei außerdem nicht in der Lage, die Gerätesperre wieder aufzuheben, oder auf Kontakte zuzugreifen und SMS zu verschicken, ergänzten die Forscher.

Da die neue Ransomware keine Dateien verschlüsselt und auch keine Sicherheitslücken ausnutzt, kann sie recht einfach und in der Regel auch ohne Datenverlust entfernt werden. Betroffene Nutzer müssen ihr Smartphone lediglich im sicheren Modus starten, bei dem jegliche Apps von Drittanbietern deaktiviert werden. Danach können sie den Geräteadministrator der App abschalten und die App selbst deinstallieren.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

10 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Tag ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago