Ransomware as-a-Service (RaaS)

Android Ransomware in Sekunden selbst erstellen

, München, Symantec | Autor: Herbert Wieler

Android Ransomware in Sekunden selbst erstellen

Mobile Malware Fabriken

Mobile Ransomware kann nun automatisch erstellt werden, ohne dass man Code schreiben muss – Ransomware as-a-Service (RaaS) machts möglich.

Symantec Sicherheitsforscher haben einige Trojan Development Kits (TDKs) entdeckt, mit deren Hilfe sich ohne jegliche Codierungskenntnisse, sehr schnell, mobile Ransomware-Varianten auf dem eigenen Android-Device erstellen lassen. Dafür ist lediglich die Installation einer kostenlosen App notwendig, die man über Untergrund-Foren und in Werbungen für einen beliebten chinesischen Social Network Messaging Service beziehen kann.

Nach dem Download der kostenlosen App, die sich zunächst nicht zu anderen Android-Apps unterscheidet, muss zunächst ein Online-Screen Formular mit folgenden Optionen ausgefüllt werden:

  • Die Nachricht, die auf dem gesperrten Bildschirm des infizierten Gerätes angezeigt werden soll
  • Der Schlüssel zum Entriegeln des infizierten Gerätes
  • Das Symbol, das von der Malware benutzt werden soll
  • Benutzerdefinierte mathematische Operationen, um den Code zu randomisieren
  • Die Art der Animation, die auf dem infizierten Gerät angezeigt werden soll

Sobald alle Informationen eingegeben sind, genügt ein Klick auf den Button „Erstellen“. Daraufhin wird der User aufgefordert den Dienst zu abonnieren. Über einen Online-Chat kann nun der Benutzer mit dem Entwickler eine einmalige Zahlung vereinbaren. Nach erfolgter Zahlung wird die Malware erstellt und in den externen Speicher des Gerätes gelegt. Die Malware ist nun bereit für den Versand.

Jetzt liegt es nur noch am User, wann und wen er damit angreifen möchte. Nach der Infizierung erhält das Opfer ein gesperrtes Gerät und eine entsprechenden Lösegeldforderung. Die mit diesem Automatisierungsprozess erstellte Malware folgt dem typischen Lockdroid-Verhalten, der Verriegelung des Gerätes mit einem SYSTEM_ALERT_WINDOW und dem Anzeigen eines Textfeldes für das Opfer, um dort den Freischaltcode einzugeben.

Bisher wurden nur TDKs in chinesischer Sprache entdeckt. Durch den hohen Verbreitungsgrad dürften allerdings in Kürze mehrere unterschiedliche Sprachversionen dafür zu erhalten sein. Die Forscher rechnen mit einer starken Zunahme von mobilen Ransomware-Varianten. Die Malware wird von Symantec unter dem Namen Android.Lockdroid.E erkannt.