Android-Ransomware ist unterwegs, verlangt iTunes-Geschenkkarte als Lösegeld

Dogspectus Android-Ransomware installiert sich heimlich auf Ihrem Smartphone und verlangt ein Lösegeld von $200 in iTunes-Geschenkkarten

Sicherheitsforscher von Blue Coat haben eine neue mobile Malware-Verbreitungskampagne entdeckt, die eine Android-Ransomware namens Dogspectus verbreitet, die keine Art von Benutzerinteraktion benötigt, um Geräte mit Ransomware zu infizieren.

Die Experten von Blue Coat Labs entdeckten die Bedrohung erstmals, nachdem ein Tablet mit CyanogenMod 10 / Android 4.2.2 eine Werbung angesehen hatte, die heimlich bösartige Payloads ohne Benutzerinteraktion lieferte.

Die Infektion tritt auf, wenn Benutzer eine Website besuchen, die mit schädlichem JavaScript-Code infiziert ist. Blue Coat Labs sagt, dass der bösartige Code über schädliche Anzeigen (Malvertising) geliefert wird. Der bösartige Code kapert mobile Anzeigen, um Geschenkkarten zu betrügen, und sperrt das Gerät in einen Zustand, der nur den Opfern die Zahlung ermöglicht.

Sicherheitsforscher von Zimperium haben bestätigt, dass der bösartige Code einen Exploit enthielt, der letztes Jahr im Hacking-Team-Datenleck veröffentlicht wurde.

Der Angriff ist sehr ausgeklügelt und bedeutet die Evolution des klassischen Malvertising-Angriffs, wie von Andrew Brandt von Blue Coat unten erklärt.

„Das ist das erste Mal, dass ich weiß, dass ein Exploit-Kit in der Lage war, bösartige Apps auf einem mobilen Gerät erfolgreich zu installieren, ohne dass der Benutzer des Opfers interagieren musste. Während des Angriffs zeigte das Gerät nicht das normale Dialogfeld „Anwendungsberechtigungen“, das normalerweise vor der Installation einer Android-Anwendung erscheint“, schrieb Brandt.

Nach weiterer Analyse mit Hilfe von Forschern von Zimperium wurde festgestellt, dass der Exploit eine Anfälligkeit in der libxslt-Android-Bibliothek ausnutzt, die es Angreifern ermöglicht, eine Linux-ELF-Binärdatei namens module.so auf das Gerät herunterzuladen.

Diese Binärdatei verwendet den Android-Exploit namens Towelroot, um Root-Rechte auf dem Gerät zu erhalten. Das Tool wurde 2014 von dem beliebten Hacker George Hotz veröffentlicht und kann Android-Geräte ausnutzen, indem es einen bekannten Linux-Fehler (CVE-2014-3153) ausnutzt.

Sobald der Root-Zugriff bestätigt ist, wird module.so auch ein zusätzliches Android-APK (Android-Anwendungs-Paket) herunterladen, das den Ransomware-Code enthält. Der Angreifer kann dann die Ransomware heimlich mit Root-Zugriff installieren, ohne den Benutzer um Erlaubnis zu bitten.

Der Name dieses Ransomware-Trojaners ist Dogspectus oder Cyber.Police und wurde erstmals im Dezember 2014 entdeckt. Im Vergleich zu desktopbasierter Ransomware, die Dateien verschlüsselt, verschlüsselt diese Anwendung keine Benutzerdaten. Stattdessen zeigt sie eine gefälschte Warnung an, angeblich von Strafverfolgungsbehörden, die besagt, dass illegale Aktivitäten auf dem Gerät erkannt wurden und der Eigentümer eine Geldstrafe zahlen muss.

Blue Coat Labs sagt, dass infizierte Opfer unverschlüsselten Datenverkehr von ihrem Gerät zu einem zentralen Kommando- und Kontrollserver senden. Das Unternehmen konnte den Datenverkehr von 224 verschiedenen Android-Gerätemodellen (Tablets, Smartphones) verfolgen, die Android-Versionen zwischen 4.0.3 und 4.4.4 verwenden.

Die niedrigste offiziell unterstützte Version von Android ist 4.4.4, was bedeutet, dass die Angreifer Benutzer ins Visier nehmen, die ihre Geräte nicht aktualisieren konnten oder wollten.

„Die Tatsache, dass einige dieser Geräte bekannt sind, nicht speziell anfällig für den Hacking-Team-libxlst-Exploit zu sein, bedeutet, dass möglicherweise verschiedene Exploits verwendet wurden, um einige dieser [anderen] mobilen Geräte zu infizieren“, merkt Brandt an.

„Die Ransomware droht nicht damit, die Daten des Opfers zu verschlüsseln (oder tut es tatsächlich). Vielmehr wird das Gerät in einem gesperrten Zustand gehalten, in dem es für nichts anderes verwendet werden kann, als die Zahlung an die Kriminellen in Form von zwei $100 Apple iTunes-Geschenkkarten-Codes zu leisten“, schrieb Brandt in einer Forschungsnotiz.

Opfer, die sich entscheiden, das Lösegeld zu zahlen, um ihr Telefon zu entsperren, werden angewiesen, eine „Geldstrafe“ zwischen $100 und $200 an ein „Schatzkonto“ zu zahlen, indem sie iTunes-Geschenkkarten-Codes einreichen.

Brandt sagte jedoch, dass der einfachste und effektivste Weg, die Ransomware zu entfernen, darin besteht, das Android-Gerät auf die ursprüngliche Werkseinstellung zurückzusetzen. Wenn Sie also feststellen, dass Sie mit der Dogspectus Android-Ransomware infiziert sind, wird empfohlen, das Gerät mit Ihrem PC zu verbinden und persönliche Daten auf Ihren Computer zu kopieren, bevor Sie sich für einen Werksreset entscheiden.

Es wird auch immer empfohlen, das Gerät auf die neueste Android-Version zu aktualisieren, da neuere Versionen des Betriebssystems Sicherheitsupdates und andere Sicherheitsverbesserungen enthalten. Darüber hinaus sollten die Benutzer ihre Web-Browsing-Aktivitäten auf dem Gerät einschränken, sobald es nicht mehr unterstützt wird und keine Updates mehr erhält. Ebenso sollten sie auf älteren Geräten anstelle des standardmäßigen Android-Browsers einen Browser wie Chrome installieren.