Microsoft warnt vor Android Ransomware

Microsoft weist in einem Blog darauf hin, dass eine neue Ransomware namens AndroidOS/MalLocker.B ist in Android-Apps versteckt, die in Online-Foren und auf Websites Dritter zum Download angeboten werden.

Genau wie die meisten Android  Ransomware-Varianten verschlüsselt MalLocker.B die Dateien des Opfers nicht wirklich, sondern verhindert lediglich den Zugriff auf den Rest des Telefons.

Sobald die Software installiert ist, übernimmt die Ransomware den Bildschirm des Telefons und verhindert, dass der Benutzer die Lösegeldforderung ablehnt. Diese ist so gestaltet, dass sie wie eine Nachricht der örtlichen Strafverfolgungsbehörden aussieht (auf Russisch), die den Benutzern mitteilt, dass sie ein Verbrechen begangen haben und eine Geldstrafe zahlen müssen.

Android Ransomware gibt sich als russische Polizei aus (Bildquelle Microsoft)

Lösegeldforderungen, die sich als gefälschte Polizeibußgelder ausgeben, sind seit mehr als einem halben Jahrzehnt die beliebteste Form von Android-Lösegeldforderungen. Im Laufe der Zeit haben diese Malware-Stämme verschiedene Funktionen der Android-Betriebssysteme missbraucht, um Benutzer auf ihrem Home-Bildschirm eingesperrt zu halten.

Zu den früheren Techniken gehörten der Missbrauch des Systemwarnfensters oder die Deaktivierung der Funktionen, die mit den physischen Tasten des Telefons verbunden sind. MalLocker.B enthält eine neue Variante dieser Techniken, denn sie verwendet einen zweiteiligen Mechanismus, um ihre Lösegeldforderung anzuzeigen.

Der erste Teil missbraucht die „Anruf“-Benachrichtigung. Dies ist die Funktion, die bei eingehenden Anrufen aktiviert wird, um Details über den Anrufer anzuzeigen, und MalLocker.B verwendet sie, um ein Fenster anzuzeigen, das den gesamten Bildschirmbereich mit Details über den eingehenden Anruf bedeckt.

Der zweite Teil missbraucht die „onUserLeaveHint()“-Funktion. Diese Funktion wird aufgerufen, wenn Benutzer eine Anwendung in den Hintergrund schieben und zu einer neuen Anwendung wechseln wollen, und sie wird ausgelöst, wenn Tasten wie Home oder Recents gedrückt werden.

MalLocker.B missbraucht diese Funktion, um seine Lösegeldforderung wieder in den Vordergrund zu bringen und den Benutzer daran zu hindern, die Lösegeldforderung für den Startbildschirm oder eine andere App zu hinterlassen.

Der Missbrauch dieser beiden Funktionen ist ein neuer und noch nie dagewesener Trick, aber Ransomware, die die Home-Taste entführt, hat es schon einmal gegeben.

Beispielsweise entdeckte ESET im Jahr 2017 eine Android-Lösegeldforderung namens DoubleLocker, die den Accessibility-Dienst missbrauchte, um sich selbst zu reaktivieren, nachdem Benutzer die Home-Taste gedrückt hatten.

Da MalLocker.B Code enthält, der zu einfach und zu primitiv ist, als dass er an den Play Store-Sicherheitsmechanismen vorbeikommt, wird Benutzern empfohlen, die Installation von Android-Apps zu vermeiden, die sie von Drittanbieterstandorten wie Foren, Website-Anzeigen oder nicht autorisierten App-Stores Dritter heruntergeladen haben.