Malvertising-Kampagne infiziert ältere Android-Geräte mit Ransomware

Sie nutzt die Towelroot-Lücke und einen von Hacking Team entwickelten Exploit. Die Ransomware gelangt als Drive-by-Download auf ein anfälliges Gerät – als ohne Interaktion mit einem Nutzer. Betroffen sind Geräte mit Android 4.0.3 bis 4.4.4.

Forscher des Sicherheitsanbieters Blue Coat Labs warnen vor einer neuen Malvertising-Kampagne, die ältere Android-Geräte betrifft. Gefährliche Anzeigen leiten demnach Nutzer von Smartphones und Tablets mit Android 4.0.3 bis 4.4.4 per JavaScript zu einem Exploit Kit, das die Towelroot-Lücke sowie einen von Hacking Team entwickelten Exploit nutzt, um Ransomware einzuschleusen.

Cyber.Police Ransomware (Bild: Blue Coat)Der Angriff ist besonders gefährlich, da die Ransomware als Drive-by-Download auf anfällige Geräte gelangt. „Es ist meines Wissens nach das erste Mal, dass ein Exploit erfolgreich gefährliche Apps ohne Nutzerinteraktion auf Seiten des Opfers auf einem mobilen Gerät installiert hat“, schreibt Andrew Brandt, Director of Threat Research bei Blue Coat, in einem Blogeintrag. „Während des Angriffs zeigte das Gerät nicht den üblichen Dialog für die Berechtigungen der Anwendung, der normalerweise der Installation einer Android-App vorausgeht.“

Umfrage

Welche Produkteigenschaften müssen 2-in-1-Geräte für den Einsatz in Ihrem Unternehmen erfüllen? Wählen Sie die drei wichtigsten aus.

Ergebnisse anzeigen

Loading ... Loading ...

Erstmalig entdeckte Blue Coat Mitte Februar den Angriff auf einem für Testzwecke benutzten Samsung-Tablet mit dem auf Android 4.2.2 basierenden CyanogenMod 10. Seitdem hätten sich mindestens 224 mobile Geräte mit den Befehlsservern der Cyberkriminellen verbunden.

Die Dogspectus genannte Ransomware behauptet wiederum, sie überwache im Auftrag einer US-Strafverfolgungsbehörde die Internetnutzung des Opfers. Sie verschlüsselt zwar keine Dateien, sperrt aber das Gerät und macht es damit unbrauchbar. Dogspectus wird bei jedem Start des Geräts geladen und fordert ein Lösegeld in Höhe von 100 Dollar. Das soll allerdings nicht, wie bei anderer Erpressersoftware üblich, in Bitcoin, sondern mit iTunes-Geschenkkarten bezahlt werden.

HIGHLIGHT

Samsung Galaxy TabPro S im Test

Mit einem Gewicht von nur 693 Gramm gehört das Samsung Galaxy TabPro S zu den Leichtgewichten unter den 12-Zoll-Windows-Tablets. Hervorzuheben ist auch das verwendete Super AMOLED-Display: Es liefert einen hervorragenden Schwarzwert und einen sehr hohen Kontrast. Die Farbdarstellung ist exzellent

Blue Coat zufolge kann die Ransomware nicht deinstalliert werden. Betroffene Nutzer müssen ihr Smartphone oder Tablet auf die Werkseinstellungen zurücksetzen, um die Kontrolle über ihr Gerät zurückzuerhalten. Die anfälligen Android-Versionen 4.0.x Ice Cream Sandwich, 4.1 bis 4.3 Jelly Bean und 4.4 KitKat laufen laut Googles eigener Statistik derzeit auf rund 56,9 Prozent aller Android-Geräte, die auf den Play Store zugreifen.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

4 Kommentare zu Malvertising-Kampagne infiziert ältere Android-Geräte mit Ransomware

Kommentar hinzufügen
  • Am 26. April 2016 um 12:05 von Paul

    Ach wo, ist harmlos. Google fixed doch alle Lücken, wo ist das Problem?

  • Am 26. April 2016 um 15:06 von Markus Spirl

    Kann da mal wer was dazu sagen, der einen echten Plan hat? Soweit ich den Blogeintrag verstehe, wurde ein gerootetes Samsung Tab infiziert und was man heraus gefunden hat ist, dass ein aus 2014 veröffentlichtes Root-tool benutzt wird? Ich konnte nicht herauslesen, ob die Root-Rechte nun schon vorher bestanden haben mussten oder ob über den Werbebanner dieses Tool geladen und installiert wurde/wird. Mir ist nicht klar, wie eine Software unbemerkt installiert werden kann ohne dass der User bereits Root-Rechte hat? Betrifft es also nur Phones, die gerooted sind?
    So ganz steig ich da nicht durch….

    • Am 27. April 2016 um 2:53 von Christian

      Die Bestätigung der Installation ist nicht erforderlich, und man benötigt keine Root Rechte – diese werden umgangen. Deswegen ist das Ding ja so gefährlich. Alte Lücken, die nicht gefixed werden, und das bei mehreren hundert Millionen Nutzern. Schön ist anders. Da hilft es nur regelmäßig Backups zu fahren, und zu hoffen, dass ein Reset auf die Werkseinstellungen auch funktioniert. Die meisten Anwender sind sich dieser Problematik nicht bewusst, und sind daher leichte Beute.

  • Am 26. April 2016 um 16:44 von Renots

    Bei meiner Frau hat sich vorgestern, ich denke, was vergleichbares abgespielt am Samsung Galaxy S2. Auf einmal hatte sie so einen ‚BKA‘-Trojaner auf dem Schirm, und man konnte nichts mehr mit dem Gerät machen, auch noch Reboot sofort wieder da.

    Sie hatte definitiv keine App installiert, und sie hätte dies normalerweise auch bestätigen müssen, da eingestellt war, dass Apps nicht von ausserhalb des PlayStores installiert werden dürfen. Sie war im Browser unterwegs, und da waren dann unverständliche Popus, die sie weggedrückt hat, und damit wohl implizit eine Installation einer App bewirkt hat.

    Ich hatte mich dann im Internet informiert und konnte dann zunächst mit Powerbutton und Lautstärke-Wippe nach unten, beides gehalten, beim Reboot in den ‚abgesicherten‘ Modus wechseln. Somit konnte das S2 zum Telefonieren und SMSen wieder benutzt werden.

    Ich habe dann verdächtige Apps deinstalliert, hatte aber den Übeltäter zunächst nicht erwischt. Der BKA-Screen tauchte wieder auf. Dann wieder in abgesicherten Modus. Bis ich im Internet gelesen habe, dass sich die App auch teilweise ‚SystemUpdate‘ nennt. Nachdem ich diese App deinstalliert habe, ist die Meldung weg.

    Es sieht also wirklich so aus, als könnten mittlerweile einfach Apps aus dem Browser heraus ohne Zustimmung auf Android mit 4.4 oder niedriger installiert werden. Nicht toll.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *