Im Mai tauchte Koler.A auf, eine Ransomware für Android-Geräte, die die Bildschirme von Besuchern bestimmter pornografischer Webseiten sperrte. Nun hat die Sicherheitsfirma AdaptiveMobile eine Wurm-Variante entdeckt, die sich über SMS verbreitet.

Nach der Infizierung versendet die Koler-Variante namens Worm.Koler eine SMS-Nachricht an alle Kontakte im Adressbuch des Geräts. Dort steht geschrieben, dass jemand ein Profil im Namen der Person unter Nutzung persönlicher Fotos erstellt habe. Darunter befindet sich ein Bitly-Link.

Cathal McDaid von AdaptiveMobile:

„Das Wurmsystem durchsucht die Datenbank von Kontakten. Es sieht aus, als hätten die Nutzer die Nachricht selbst geschrieben, aber das ist nicht schwer umzusetzen.“

Ein Klick auf den Bitly-Link leitet die Nutzer auf eine Dropbox-Seite weiter, auf der eine „Photoviewer-App“ heruntergeladen werden kann. Installiert man diese, so erscheint ein Pop-Up mit einer Lösegeldforderung. Eine Nachricht erscheint, wonach auf dem Gerät unerlaubtes Material gefunden wurde und der Nutzer zur Freischaltung 300 US-Dollar via MoneyPak zahlen müsse.

Die Meldung wird nicht wie bei Koler.A auf den Standort des Nutzers angepasst, sondern ist immer in der US-amerikanischen Version zu sehen. McDaid zufolge ist die Sperrung durch den Wurm allerdings effizienter als bei Koler.A.

Im Gegensatz zu anderen Wurm-Methoden, die meist sich wiederholende SMS senden, versendet Worm.Koler die Nachricht nur einmal an alle Kontakte. McDaid vermutet, dass somit das Verhalten natürlicher erscheinen soll und die Empfänger keinen Verdacht schöpfen.

AdaptiveMobile datiert das erste Erscheinen des Wurms auf den 19. Oktober. Innerhalb weniger Tage beobachteten sie bereits mehrere hundert infizierte Geräte diverser US-Anbieter. Statistiken von Bitly zufolge stammen 75 Prozent der Klicks aus den USA.

„Wir können nicht mit Sicherheit sagen, ob es die gleichen Angreifer wie bei dem ursprünglichen Koler.A sind, aber in diesem Falle haben die Angreifer den Wurm anscheinend auf den US-amerikanischen Markt abgestimmt. Außerdem gibt es Unterschiede in der Art und Weise wie der Code verpackt ist“,

so McDaid.

AdaptiveMobile benachrichtigte Dropbox und Bitly und sowohl die Datei als auch der Link wurden entfernt. Der Wurm verschlüsselt die Daten nicht – Nutzer können die Bedrohung also beseitigen, indem sie im sicheren Modus starten und die „PhotoViewer-App“ über das normale Deinstallations-Tool entfernen.

Artikel von scmagazine.com, 22.10.2014: Worm variant of Android ransomware, Koler, spreads via SMS
Artikel von computerworld.com, 22.10.2014: Android ransomware ‚Koler‘ turns into a worm, spreads via SMS