EnergyRescue-App
Ransomware erpresst 167 Euro von Android-Nutzern
Die Ransomware "Charger" verbirgt sich hinter einer Energiespar-App. Sie stiehlt persönliche Daten und droht mit deren Weitergabe, wenn nicht gezahlt wird.
Ein neuer Ransomware-Schädling für Android-Smartphones wurde im Google Play Store gefunden. Getarnt hinter der Energiespar-App "EnergyRescue" stiehlt der Schädling Kontaktdaten und SMS-Nachrichten des Smartphone-Nutzers. Außerdem fordert die falsche App administrative Rechte ein. Erteilt man sie, wird das verseuchte Gerät gesperrt. Der Schädling, der auf den Namen "Charger" getauft wurde, erpresst von den Opfern Geld in Form von Bitcoins im Austausch für die Entsperrung des gehackten Geräts. Die Informationen gehen auf einen Bericht der israelischen Sicherheitsfirma Check Point zurück.
Die Erpessungsmasche von Charger hat es in sich
Die Ransomware droht damit, alle 30 Minuten einen Teil der gestohlenen persönlichen Nutzerdaten auf dem Schwarzmarkt zu verkaufen. Das "Lösegeld" für das gesperrte Smartphone liegt bei 0,2 Bitcoins, das entspricht in etwa 180 US-Dollar oder rund 167 Euro. Check Point benennt dies als höchste Summe, die jemals bei Ransomware-Erpressungen auf Mobilgeräten gefordert wurde. In anderen Fällen wurden lediglich Summen von etwa 10 bis 15 Euro verlangt.
Die Nachricht im Sperrbildschirm macht unmissverständlich klar: Wird nicht gezahlt, werden die gestohlenen Daten weiterverkauft und für Spam, gefälschte Bank-Accounts und andere Betrügereien genutzt. Das Smartphone einfach auszuschalten, hilft dem Opfer nicht weiter, da die Daten bereits übertragen wurden. Sollte man zahlen, versprechen die Cyber-Kriminellen hinter dem Schädling dagegen, die Daten zu 100 Prozent wieder herzustellen und von ihren Servern zu löschen.
Lesetipp: Malware HummingWhale infiziert Apps im Play Store
Check Point erklärt in seinem Bericht, die Ransomware überprüfe den Standort des infizierten Smartphones und werde in Ländern wie der Ukraine, Russland und Weißrussland nicht aktiv. Das sei vermutlich darauf zurück zu führen, dass die Entwickler des Schädlings eine strafrechtliche Verfolgung oder Auslieferung in ihren eigenen Ländern vermeiden wollen.
Laut Check Point haben die Entwickler sehr viel Aufwand investiert, um den Schädling so lange wie möglich versteckt zu halten. Charger kodiert Zeichenketten und lädt dynamisch Code aus verschlüsselten Quellen. Das mache es schwer, die Malware aufzuspüren. Außerdem ist der Code durchsetzt von bedeutungslosen Befehlen, die die echten Befehle verschleiern sollen. Charger überprüft zudem, ob er auf einem Emulator läuft, bevor er das Gerät sperrt. Dieses Vorgehen tauchte zuerst bei Ransomware auf PCs auf, verbreitet sich aber zunehmend auch im mobilen Segment.
Check Point hat das Sicherheitsteam von Android über die Ransomware informiert. Die App wurde aus dem Play Store entfernt und die Malware sollte künftig von den Android-eigenen Schutzmechanismen erkannt werden.
Weiter zur Startseite
