Falsche Coronavirus-Tracking-App für Android sperrt das Gerät

Wir haben kürzlich berichtet, wie Hacker die tödliche Coronavirus (COVID-19) Pandemie zu ihrem Vorteil ausnutzen, indem sie die Coronavirus-Karten verwenden, um Benutzerdaten zu stehlen.

Nicht nur das, Cyberkriminelle nutzten auch die Angst vor einem Coronavirus-Ausbruch, um E-Mail-Kampagnen zu starten, die die Systeme der Benutzer mit Malware infizieren.

Um diese Situation weiter auszunutzen, kursiert jetzt eine bösartige Android-App, die behauptet, bei der Verfolgung von Coronavirus-Fällen zu helfen, aber stattdessen Ransomware installiert und die Benutzer von ihrem Gerät aussperrt.

Entdeckt von der DNS-Bedrohungsintelligenzfirma DomainTools, verwendet die neu entdeckte Ransomware, die als „CovidLock“ bezeichnet wird, Techniken, um dem Opfer den Zugriff auf sein Telefon zu verweigern, indem es eine Änderung des Passworts erzwingt, das zum Entsperren des Telefons verwendet wird. Dies ist auch als Bildschirm-Sperr-Angriff bekannt und wurde bereits zuvor bei Android-Ransomware beobachtet.

„Cyberkriminelle nutzen es gerne aus, wenn Menschen am verletzlichsten sind. Sie verwenden dramatische Ereignisse, die Menschen emotional oder ängstlich machen, um ihre Gewinne zu steigern“, schrieb Tarik Saleh, Senior Security Engineer und Malware-Forscher bei DomainTools, in einem Blogbeitrag. „Das Coronavirus ist da keine Ausnahme. Kurz nach der Bestätigung der ersten Fälle beobachteten die Forscher von DomainTools einen leichten Anstieg von Domainnamen, die Coronavirus und COVID-19 nutzen. Diese Registrierungen haben in den letzten Wochen erheblich zugenommen, und viele von ihnen sind Betrügereien.“

Die Domain (coronavirusapp[.]site) und (coronavirusapp[.]site/mobile.html) behauptet, einen Echtzeit-Tracker für Coronavirus-Ausbrüche über einen App-Download anzubieten.

Die Domain fordert die Benutzer auf, eine Android-App herunterzuladen, die ihnen Zugang zu einem Coronavirus-Karten-Tracker geben soll, der anscheinend Tracking- und statistische Informationen über COVID-19 bereitstellt, einschließlich Heatmap-Visualisierungen. In Wirklichkeit ist die App mit Ransomware ausgestattet.

Sobald die Ransomware einen Bildschirm-Sperr-Angriff durchführt, erhalten die Opfer eine Frist von 48 Stunden, um ein Lösegeld von 100 $ in Bitcoin zu zahlen, um die Sperre zu entfernen. Sie werden auch bedroht, dass ihre Kontakte, Bilder, Videos und der Speicher des Telefons gelöscht sowie ihre Social-Media-Konten öffentlich geleakt werden.

„Hinweis: Ihr GPS wird überwacht und Ihr Standort ist bekannt. Wenn Sie etwas Dummes versuchen, wird Ihr Telefon automatisch gelöscht“, behauptet die Ransomware-App.

Für Android Nougat-Geräte und spätere Versionen gibt es einen Schutz gegen diese Art von Angriff. Dieser funktioniert jedoch nur, wenn der Benutzer ein Passwort festgelegt hat. Diejenigen, die kein Passwort auf ihrem Telefon zum Entsperren des Bildschirms festgelegt haben, sind weiterhin anfällig für die CovidLock-Ransomware.

Glücklicherweise hat DomainTools die Entschlüsselungsschlüssel rückentwickelt und wird den Schlüssel öffentlich veröffentlichen (obwohl ein Reddit-Nutzer anscheinend auch das Passwort veröffentlicht hat). Das Team hat auch die Bitcoin-Brieftasche des Angreifers und überwacht die damit verbundenen Transaktionen.

Um sich zu schützen, stellen Sie sicher, dass Sie Android-Apps nur aus dem Google Play Store und nicht aus untrusted 3rd Party Stores herunterladen. Vermeiden Sie auch, auf alles zu klicken, was in Ihrer E-Mail gesundheitsbezogen ist.