Ransomware

Neue Android-Malware umgeht Antiviren-Apps

Sicherheitsforscher haben eine neue Malware auf Android-Geräten entdeckt, die bekannte Apps manipuliert und sich ziemlich erfolgreich vor Antiviren-Programmen verbirgt.

Android Ransomware

© Zscaler

Die infizierte App verlangt nach Administratorrechten. Anschließend blockiert die Malware das Gerät mit einer Erpressernachricht. Derzeit ist die Ransomware vor allem in Russland aktiv.

Eine neue Form von Ransomware macht derzeit auf Android-Smartphones die Runde. Entdeckt wurde die Malware vom ThreatLabZ-Team der Sicherheitsfirma Zscaler. Besonders besorgniserregend ist die Schadsoftware, da sie zum Zeitpunkt ihrer Entdeckung von keinem der damit getesteten Antiviren-Programme erkannt wurde.

Die Forscher gehen davon aus, dass sich die Malware durch ihren stark verschlüsselten Code vor den meisten aktuellen Antiviren-Apps verbergen kann. Auch die Tatsache, dass die Schadsoftware erst mehrere Stunden nach Installation einer damit infizierten App ausgeführt wird, ermöglicht es, Antiviren-Programme zu umgehen, die die Funktionen einer neuinstallierten App oft nur für einige Minuten testen. Auch wenn die Malware bisher nicht im Google Play Store aufgetaucht ist, hält es Gaurav Shinde von Zscaler​ für möglich, dass sie durch ihre Verschleierungstaktik auch die Sicherheitsvorkehrungen des Play Store überlisten könnte.

Malware versteckt sich in beliebten Apps

Derzeit kommt die Malware vor allem im russischsprachigen Raum zum Einsatz. Sie wird über Kopien von bekannten Apps auf dem Smartphone eingeschleust. Dazu nehmen die Hacker eine beliebte App (Zscaler nennt als Beispiel die App „OK“, ein beliebtes soziales Netzwerk in Russland), zerlegen den Code und schleusen ihren eigenen schadhaften Code ein. Anschließend verschleiern sie die Malware und bieten die infizierte App über alternative App-Stores​ zum Download an. Bisher konnte Zscaler die Malware nicht im Google Play Store nachweisen.

Wenn Nutzer die infizierte App herunterladen und installieren, arbeitet sie zunächst ganz normal. Erst nach mehreren Stunden wird die Malware aktiv und verlangt nach Administratorrechten. Das Pop-up hierfür lässt sich nicht wegklicken, es erscheint immer wieder in kurzen Abständen, bis man zustimmt. Dann blockiert die Malware das Gerät und zeigt eine Erpresser-Botschaft an. Wenn der Nutzer innerhalb von 12 Stunden 500 Rubel zahlt, werde das Gerät wieder freigegeben. Andernfalls drohen die Erpresser damit, die vom Smartphone gestohlenen Daten zu veröffentlichen und in einer SMS alle Kontakte darüber zu informieren, dass der Nutzer illegale Inhalte konsumiert.

Tatsächlich fanden die Forscher von Zscaler keine Hinweise darauf, dass die Ransomware tatsächlich Daten vom Smartphone auf andere Server überträgt. Auch SMS kann sie wohl nicht verschicken. Allerdings erfolgt auch keine Rückmeldung, wenn der Nutzer den geforderten Betrag gezahlt hat. In der Malware ist keine Möglichkeit implementiert, das Gerät wieder freizugeben.

Um die Malware wieder loszuwerden, sollte man sein Smartphone im sicheren Modus starten. Dadurch werden alle Drittanbieter-Apps deaktiviert. Dann kann man der infizierten App die Administratorrechte nehmen und sie anschließend deinstallieren. Um sich vor solchen Angriffen so gut wie möglich zu schützen, sollte man keine Apps aus unbekannten Quellen installieren.

Mehr zum Thema

Android Malware - Sicherheit (Symbolbild)
Android-Malware "Judy"

Der Adware-Auto-Klicker-Vorus Judy klickt unerlaubt Werbeseiten an und bescherte so den Programmierern hunderttausende Dollar Gewinn.
Trojaner im Netz
Android-Trojaner

Ein Sicherheitsexperte hat Trojaner-Apps im Play Store gefunden. Sie wurden insgesamt mehr als 60.000 Mal heruntergeladen. Das müssen Sie wissen.
CopyCat Adware
Android-Malware

Ein Virus namens CopyCat hat 14 Millionen Smartphones verseucht. Von der Malware betroffen sind vor allem ältere Geräte mit Android 5 und Android 4.
Trojaner im Netz
Banking-Trojaner

Eine neue Version des Banking-Trojaners Marcher macht erneut Android-Smartphones unsicher. Er versucht, Bankdaten wie PIN- und TAN-Nummern…
Trojaner im Netz
Android-Malware

Kaspersky hat eine neue Version des Banking-Trojaners Svpeng gefunden, der über einen Keylogger Bankdaten abgreift. Zehn deutsche Banking-Apps sind…
Alle Testberichte
1&1 Media-Center
connect Festnetztest 2017
Mit Top-Ergebnissen setzt sich 1&1 an die Spitze des bundesweiten Testfelds im Festnetztest 2017. Lesen Sie hier das Testurteil.
DSL- und Festnetztest
connect Festnetztest 2017
Die Telekom schneidet bei Sprache sehr gut ab, in den unteren Bandbreitenklassen der Daten gibt es Verbesserungspotenzial. Lesen Sie hier das…
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.