Ransomware richtet bereits seit Jahren Chaos auf Desktop-Computern an, wobei die Angreifer von den Opfern jeweils ein Lösegeld verlangen, damit diese wieder auf ihr System zugreifen können. Bisher war diese Art von Malware kein Problem für mobile Geräte – das ändert sich nun langsam.

Eine neue Art von mobiler Malware hat derzeit Android im Fokus. Die Schadsoftware wird von derselben Gruppe verkauft, die auch für die Reveton Ransomware verantwortlich zeichnet. Diese ist seit circa zwei Jahren im Umlauf. Das Ziel jeder Ransomware ist es, auf irgendeine Art und Weise Geld von den Opfern zu erpressen. Gelegentlich imitieren die Hacker dabei gefälschte Warnungen des FBI oder anderer Strafverfolgungsbehörden. Meist wird dem Opfer so mitgeteilt, dass der Besuch illegaler Seiten mit Kinderpornographie oder ähnlichem beobachtet wurde und nun eine Strafe zu zahlen sei.

Cryptolocker und ähnliche Malware agiert auf einem anderen Niveau. Hier wird die Festplatte des Opfers verschlüsselt und nur gegen Zahlung erhält man den Key zum Entschlüsseln des Systems. Diese Ransomware verbreitete sich weit und schnell im letzten Jahr, häufig auch über Links in Phishing-Mails. Rufen Nutzer infizierte Domains auf, so wird ein Exploit gegen den Browser des Betroffenen gestartet.

Nun wurde eine Gruppe entdeckt, die Ransomware verbreitet, welche auch Android-Geräte infizieren kann. Im Gegensatz zu Cryptolocker verschlüsselt diese Malware allerdings nicht die Daten, sondern sperrt das Gerät.

Der französische Sicherheitsexperte Kafeine fand heraus, dass der Nutzer beim Surfen auf einer Domain mit der Ransomware auf eine Pornoseite umgeleitet wird. Dort werden Methoden des Social Engineering genutzt, um ihn zum Installieren einer bösartigen APK zu bewegen. Die Ransomware kann auch Desktop-Computer befallen.

„Wichtig: es installiert sich nicht von selbst. Der Nutzer muss dies durchführen. Also ist es Social Engineering“,

so Kafeine.

„Die Sperrung ist sehr effektiv. Man kann zwar den Home-Bildschirm aufrufen, aber darüber hinaus funktioniert nichts. Den Browser zu öffnen oder Apps zu starten, bringt einen nur zurück zur Sperre.“

Die APK-Datei versteckt sich hinter einer Pornographie-App. Startet das Opfer diese, so kommt allerdings nur eine Nachricht, dass der Betroffene pornographisches Material von dem Mobilgerät aus angesehen oder verbreitet hat. Deshalb stünden ihm fünf bis elf Jahre Gefängnis bevor und er hätte eine Strafe von 300 US-Dollar via MoneyPak zu zahlen.
Über die Geo-Daten des Geräts wird die Nachricht außerdem „personalisiert“, sodass die Malware spezifische Nachrichten für über 30 Länder anzeigt.

Artikel von scmagazine.com, 07.05.2014: Ransomware on Android scares users with gov’t notices, asks for $300
Artikel von arstechnica.com, 06.05.2014: Your Android phone viewed illegal porn. To unlock it, pay a $300 fine