Mobile Ransomware tarnt sich als FBI

Das Sicherheitsunternehmen Lookout hat eine Malware entdeckt, die Bürger der USA im Focus hat. Mit der Drohung „Sie werden vom FBI beschattet“ werden Betroffene unter Druck gesetzt. Die Malware kann Mobiltelefone lahmlegen und zu Datenverlust führen. Sie gibt sich dem Benutzer als bekannte App wie Adobe Flash und andere
Anti-Virus-Anwendung zu erkennen und gibt vor, das Mobiltelefon beim Einschalten nach Schadsoftware zu durchsuchen. Nach diesem vorgetäuschten Scan wird das Smartphone gesperrt. Die Navigation wird deaktiviert, bei einem Neustart erscheint als erstes diese gefälschte FBI-Nachricht auf dem Bildschirm. Es werden dann mehrere hundert Dollar in Form eines MoneyPak-Gutscheins, einer Einweg-Prepaid-Karte, verlangt, um das Gerät wieder freizuschalten. Die App führt einen Validierungstest durch, um zu überprüfen, ob der Code lang genug ist, jedoch nicht, ob er auch tatsächlich gültig ist. Die App benötigt keine Root-Rechte, um die Kontrolle über ein Mobiltelefon zu erlangen, dafür aber den Geräteadministrator-Dienst.
Der Lookout – Nutzer ist gegen die Bedrohung folgendermaßen geschützt:
Die Malware versucht, möglichst intrusiv zu sein, indem sie die normale Gerätenutzung des Opfers mit der App blockiert. Mit einem Java TimerTask , der so eingestellt ist, dass er alle 10 Millisekunden durchgeführt wird, beendet die Anwendung sämtliche andere laufende Prozesse sowie Anwendungen, die selbst keine Malware bzw. Einstellungsanwendung sind. Die Malware nutzt außerdem einen Android WakeLock , um zu verhindern, dass das Gerät in den Standby-Betrieb wechselt.
Die Malware erschwert außerdem das Abschalten des Telefons. Sollte das dem Betroffenen dennoch gelingen, sorgt ein Boot-Receiver für die erneute sofortige Kontrollübernahme des infizierten Gerätes durch ScarePakage. Auch hier werden alle anderen laufenden Prozesse und Anwendungen beendet, mit denen der Benutzer interagiert.
In einigen Fällen stiehlt ScarePakage auch die IMEI, die dem Benutzer zur Abschreckung angezeigt wird. Die Cyberkriminellen versuchen ihrem Opfer zu vermitteln: “Wir wissen, wer du bist.” In manchen Fällen sendet ScarePakage diese IMEI zurück zum C&C-Server, um das Gerät zu identifizieren.
Die Funktionalität von ScarePakage ist anderer Ransomware, die wir ColdBrother nennen, sehr ähnlich. Ein anderer Name dafür ist Svpeng.
ColdBrother kann neben der Darstellung einer einschüchternden Nachricht sowie der Sperrung des Mobiltelefons auch ein Foto mit der Frontkamera machen, Anrufe annehmen und diese sofort wieder beenden. Derzeit noch nicht implementiert, aber im Code zu finden, ist die Funktion zum Suchen nach Banking-Anwendungen auf dem mobilen Gerät.
So gehen Sie damit um
ScarePakage stammt möglicherweise aus Russland oder Osteuropa, wie die in der Anwendung verwendete Sprache vermuten lässt.
Leider lässt sich diese Ransomware nur schwer entfernen, sobald diese Malware Administratorrechte für das Mobil-Gerät erhält.
1. Vermeiden Sie es, Apps Administratorrechte einzuräumen, es sei denn, Sie wissen genau, was diese Anwendungen tun.
2. Laden Sie nur Anwendungen von Entwicklern herunter, die Sie kennen und denen Sie wirklich vertrauen.
3. Laden Sie Anwendungen wie Lookout herunter, die diese Bedrohungen rechtzeitig entdecken und beseitigen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben