Neue Android-Ransomware trickst Antivirensoftware aus

Zscaler hat eine neue Ransomware für Googles Mobilbetriebssystem Android entdeckt. Erschreckend sei, dass die Erpressersoftware bei Tests von keiner Antivirensoftware erkannt worden sei, schreiben die Sicherheitsforscher Gaurav Shinde und Viral Gandhi im Zscaler-Blog. Sie ist aber auch ein Beispiel dafür, dass eine Lösegeldzahlung nicht automatisch dazu führt, dass die Cyberkriminellen ein infiziertes Android-Smartphone freigeben.

Die neue Ransomware nimmt derzeit vor allem Nutzer in Russland ins Visier und versteckt sich in dort beliebten Apps wie der App des Social Network OK. Die legitime Version dieser App zähle alleine im Google Play Store zwischen 50 und 100 Millionen Installationen – die dort angebotene Version sei auch nicht infiziert. Die von dieser Malware benutzten Techniken erhöhten jedoch die Wahrscheinlichkeit, dass es der Schadcode in den Play Store schaffe.

Die von Zscaler entdeckte Android-Ransomware versucht unter anderem, sich als Geräteadministrator einzurichten (Screenshots: Zscaler).Derzeit werde die Ransomware jedoch ausschließlich über andere Quellen vertrieben. Nach einer Infektion verhalte sich die Malware die ersten vier Stunden still, was es der Original-App erlaube, ohne Einschränkungen zu funktionieren. Auch wenn eine Antivirensoftware die App starte, um sie zu überprüfen, bleibe der Schadcode mindestens vier Stunden inaktiv. Da die Malware zudem verschiedene Techniken zur Codeverschleierung einsetzte, sei auch eine statische Analyse erfolglos.

Nach Ablauf der vier Stunden wird das Opfer aufgefordert, die infizierte legitime App als Geräteadministrator einzurichten. „Selbst wenn der Nutzer den ‚Abbrechen‘-Button drückt, erscheint die Meldung sofort wieder, was verhindert, dass der Nutzer andere Eingaben macht oder die App deinstalliert“, heißt es in dem Blogeintrag. „Sobald der Nutzer den ‚Aktivieren‘-Button drückt, wird der Bildschirm gesperrt und eine den Bildschirm ausfüllende Lösegeldforderung eingeblendet.“

Als Geräteadministrator erhält die Ransomware die Berechtigung, den Bildschirm zu sperren und das Passwort zum Entsperren des Displays zu ändern. Zudem kann die App nun jegliche Entsperrversuche überwachen und auch ein Ablaufdatum für das Gerätepasswort einrichten.

Die Hacker fordern ein vergleichsweise geringes Lösegeld von 500 Rubel, was etwa 8,30 Euro entspricht. Zudem drohen sie, nach Ablauf von zwölf Stunden per SMS alle Kontakte des Opfers darüber zu informieren, dass das Smartphone für den Konsum von Pornografie benutzt wurde.

Allerdings nehme die Ransomware gar keinen Kontakt zu einem Server im Internet auf, um beispielsweise abzufragen, ob das Lösegeld bezahlt wurde. Sie sei außerdem nicht in der Lage, die Gerätesperre wieder aufzuheben, oder auf Kontakte zuzugreifen und SMS zu verschicken, ergänzten die Forscher.

Da die neue Ransomware keine Dateien verschlüsselt und auch keine Sicherheitslücken ausnutzt, kann sie recht einfach und in der Regel auch ohne Datenverlust entfernt werden. Betroffene Nutzer müssen ihr Smartphone lediglich im sicheren Modus starten, bei dem jegliche Apps von Drittanbietern deaktiviert werden. Danach können sie den Geräteadministrator der App abschalten und die App selbst deinstallieren.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.