Ransomware

Neue Android-Malware umgeht Antiviren-Apps

Sicherheitsforscher haben eine neue Malware auf Android-Geräten entdeckt, die bekannte Apps manipuliert und sich ziemlich erfolgreich vor Antiviren-Programmen verbirgt.

Android Ransomware

© Zscaler

Die infizierte App verlangt nach Administratorrechten. Anschließend blockiert die Malware das Gerät mit einer Erpressernachricht. Derzeit ist die Ransomware vor allem in Russland aktiv.

Eine neue Form von Ransomware macht derzeit auf Android-Smartphones die Runde. Entdeckt wurde die Malware vom ThreatLabZ-Team der Sicherheitsfirma Zscaler. Besonders besorgniserregend ist die Schadsoftware, da sie zum Zeitpunkt ihrer Entdeckung von keinem der damit getesteten Antiviren-Programme erkannt wurde.

Die Forscher gehen davon aus, dass sich die Malware durch ihren stark verschlüsselten Code vor den meisten aktuellen Antiviren-Apps verbergen kann. Auch die Tatsache, dass die Schadsoftware erst mehrere Stunden nach Installation einer damit infizierten App ausgeführt wird, ermöglicht es, Antiviren-Programme zu umgehen, die die Funktionen einer neuinstallierten App oft nur für einige Minuten testen. Auch wenn die Malware bisher nicht im Google Play Store aufgetaucht ist, hält es Gaurav Shinde von Zscaler​ für möglich, dass sie durch ihre Verschleierungstaktik auch die Sicherheitsvorkehrungen des Play Store überlisten könnte.

Malware versteckt sich in beliebten Apps

Derzeit kommt die Malware vor allem im russischsprachigen Raum zum Einsatz. Sie wird über Kopien von bekannten Apps auf dem Smartphone eingeschleust. Dazu nehmen die Hacker eine beliebte App (Zscaler nennt als Beispiel die App „OK“, ein beliebtes soziales Netzwerk in Russland), zerlegen den Code und schleusen ihren eigenen schadhaften Code ein. Anschließend verschleiern sie die Malware und bieten die infizierte App über alternative App-Stores​ zum Download an. Bisher konnte Zscaler die Malware nicht im Google Play Store nachweisen.

Wenn Nutzer die infizierte App herunterladen und installieren, arbeitet sie zunächst ganz normal. Erst nach mehreren Stunden wird die Malware aktiv und verlangt nach Administratorrechten. Das Pop-up hierfür lässt sich nicht wegklicken, es erscheint immer wieder in kurzen Abständen, bis man zustimmt. Dann blockiert die Malware das Gerät und zeigt eine Erpresser-Botschaft an. Wenn der Nutzer innerhalb von 12 Stunden 500 Rubel zahlt, werde das Gerät wieder freigegeben. Andernfalls drohen die Erpresser damit, die vom Smartphone gestohlenen Daten zu veröffentlichen und in einer SMS alle Kontakte darüber zu informieren, dass der Nutzer illegale Inhalte konsumiert.

Tatsächlich fanden die Forscher von Zscaler keine Hinweise darauf, dass die Ransomware tatsächlich Daten vom Smartphone auf andere Server überträgt. Auch SMS kann sie wohl nicht verschicken. Allerdings erfolgt auch keine Rückmeldung, wenn der Nutzer den geforderten Betrag gezahlt hat. In der Malware ist keine Möglichkeit implementiert, das Gerät wieder freizugeben.

Um die Malware wieder loszuwerden, sollte man sein Smartphone im sicheren Modus starten. Dadurch werden alle Drittanbieter-Apps deaktiviert. Dann kann man der infizierten App die Administratorrechte nehmen und sie anschließend deinstallieren. Um sich vor solchen Angriffen so gut wie möglich zu schützen, sollte man keine Apps aus unbekannten Quellen installieren.

Mehr zum Thema

Google Play Store Logo
Nach über 100 Millionen Downloads

Google entfernt über 500 Android-Apps aus dem Play Store, weil diese Nutzer ausspionieren. Die Spyware versteckt sich im Werbe-SDK Igexin.
Android Sicherheitsupdate
Spionierende Apps gefährden Datenschutz

Eine aktuelle Studie bescheinigt zahlreichen Kinder-Apps aus dem Google Play Store erhebliche Mängel bei der Datensicherheit.
Smartphone Virus
Warnung vor Kryptomining-Kampagne

Bei zahlreichen Android-Geräten ist bereits bei der Auslieferung die ADB-Schnittstelle aktiviert. Diese wird wohl für Kryptomining missbraucht.
RAMpage Logo
Hardware-Bug

Ein aktueller Exploit bedroht möglicherweise alle Android-Smartphones, die seit 2012 im Umlauf sind. Was steckt hinter der RAMpage-Sicherheitslücke?
Smartphone Virus
Android-Sicherheit

Skurriler Fall von Malware: Google hat 145 Android-Apps aus dem Play Store entfernt - weil sie mit Windows-Malware infiziert waren.
Alle Testberichte
Hyundai Nexo
Brennstoffzellen-SUV
Mit dem Nexo bietet Hyundai die zweite Generation seines Brennstoffzellen-SUVs an. Technik und Reichweite überzeugen im Test und machen Lust auf mehr.
Guter Ton an jedem Ort: Geneva Touring S und L im Test
Lautsprecher: One-Box-Systeme
Die Touring-Serie von Geneva zeigt: Kompaktradios sind heute besser denn je. Die Modelle S und L im Test.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.