Ransomeware infiziert alte Android-Geräte und fordert Lösegeld

Die Forscher des Sicherheitsanbieters Blue Coat Labs haben eine Ransomware für Android entdeckt. Dank bösartiger Werbung kann sich der „Dogspectus“ genannte Übeltäter ohne Mitwirken des Nutzers auf den Geräten einnisten. Von der neuen Malvertising-Kampagne scheinen zunächst ältere Android-Geräte betroffen zu sein.

Nach eigenen Angaben hat der Sicherheitsanbieter Blue Coat Labs zum ersten mal Drive-by-Angriffe auf Android-Geräte in einer kommerziellen Kampagne aufgedeckt. So schreibt Andrew Brandt, der Director of Threat Research bei Blue Coat: “Es ist meines Wissens nach das erste Mal, dass ein Exploit erfolgreich gefährliche Apps ohne Nutzerinteraktion auf Seiten des Opfers auf einem mobilen Gerät installiert hat.“ Da die Ransomware als Drive-by-Download auf die Geräte gelangt, ist der Angriff besonders gefährlich. So wird während des Angriffs nicht der übliche Dialog für die Berechtigungen der Anwendung angezeigt, der sonst der Installation einer Android-App vorausgeht.

Über mehrere Sicherheitslücken besorgt sich die Malware die erforderlichen Rechte. Der eigentliche Code wird per Exploit-Kit nachgeladen. Durch die Nutzung des Exploit-Kit, können Apps unbemerkt auf das jeweilige Gerät gelangen, da wie bereits erwähnt der Bestätigungsdialog außer Kraft gesetzt wird. Abgesehen von einem Besuch der infizierten Website, ist also von Seiten der Nutzer keine weitere Handlung vonnöten. Betroffen sind Smartphones und Tablets mit Android 4.0.3 bis Version 4.4.4.

Im Anschluss an die Infektion würgt die Ransomware andere Apps ab und verhindert deren Ausführung, außerdem wird sie bei einem Neustart als erstes geladen und installiert einen permanenten Lockscreen. Damit aber nicht genug. So wird ein Erpressungsbetrag von 200 US-Dollar gefordert. Allerdings wird im Unterschied zu den meisten Ransomwares keine Bitcoin-Zahlung gefordert, sondern die Nutzer werden dazu aufgefordert, die Codes von zwei iTunes-Geschenkkarten im Gesamtwert von 200 Dollar einzugeben.

Nach Angaben von Blue Coat Labs ließ sich die Malware nicht durch ein einfaches Flashen des Gerätes entfernen. Allerdings verschwand der Schädling nachdem das betroffene Smartphone auf Werkeinstellungen zurückgesetzt wurde.

Image „Powered By Android“ (adapted) by JD Hancock (CC BY 2.0)

About Patrick Kiurina
Patrick Kiurina war von 2015 bis Ende 2016 für die Netzpiloten aktiv. Zuvor studierte er Publizistik und Kommunikationswissenschaften an der Uni Wien. Neben Technik interessiert er sich gleichermaßen auch für Sport und Musik.