Erhöhte Android Bedrohungen

Schlechte Nachrichten für Android-User

, München, | Autor: Herbert Wieler

Schlechte Nachrichten für Android-User

SLocker und BankBot

Benutzer von Android-Geräten dürften in der nächsten Zeit einer erhöhten Bedrohung ausgesetzt sein. Auf Github ist der Quellcode für die älteste, mobile Android-Ransomware durchgesickert. Der SLocker-Quellcode wurde über einen User mit Spitznamen „fs0c1ety“ öffentlich, der alle Github-Benutzer aufforderte, entdeckte Bugs zu dem Code zu übermitteln.

SLocker ist ein Trojaner, der den Bildschirm sperrt und die Dateien auf dem Smartphone verschlüsselt. Die Kommunikation zu seinem C&C Server wird dann über Tor abgewickelt. Die Malware agiert oft auch unter dem Deckmantel von Strafverfolgungsbehörden, um die Opfer von der Bezahlung des Lösegeldes zu überzeugen. Berühmt wurde SLocker bereits im Jahre 2016, als er Tausende von Android-Geräte infizierte.

Laut den Sicherheitsforschern dürfte es mittlerweile über 400 Varianten der SLocker-Ransomware geben. Bei den letzten Varianten wurde sogar die GUI von Wannacry kopiert

Einmal infiziert, läuft SLocker leise im Hintergrund des Android-Gerätes. Ohne Wissen oder Zustimmung des Nutzers werden Bilder, Dokumente und Videos verschlüsselt. Sobald die Dateien verschlüsselt sind, wird das Smartphone übernommen, der Benutzerzugriff vollständig blockiert und das Opfer mit einer entsprechenden Lösegeldforderung konfrontiert.

Der öffentliche und frei verfügbare Quellcode ist natürlich für Cyberkriminelle eine Goldgrube, um daraus weitere Varianten zu bauen und lukrativ einzusetzen. Daher kann man mit einer zunehmenden Anzahl von Ransomware-Angriffen auf Android-Geräte in nächster Zeit rechnen.

Android.BankBot.211.origin

Zudem haben Forscher von Dr. Web eine multifunktionalen Bankbot-Malware entdeckt, Android.BankBot.211.origin , die es gezielt auf Android-Geräte abgesehen hat.

BankBot versucht neben den Kontaktlisten und Textnachrichten auch finanzielle Daten aus dem Smartphone zu ziehen. Die Malware verbreitet sich mit gefälschten Namen von beliebten Apps oder Programmen, z.B. als vermeintlicher Adobe Flash Player.

Die Malware versucht über die Accessibility Services bei Android, durch eine entsprechende Anforderungsaufforderung, die es erlaubt sich in die Geräteadministratorenliste hinzuzufügen, das Device zu übernehmen.

Gefälschte Anzeigen

Sobald die Übernahme abgeschlossen ist, kann BankBot SMS mit bestimmten Texten an jede beliebige Nummer senden, Textnachrichten extrahieren und an die Angreifer senden, Links öffnen, die Adresse des Firmencenters ändern, Daten wie Telefonanrufe, Kontaktlisten und Daten stehlen,sowie installierte Apps übernehmen und via Screenshots die Passwörter kopieren, die auf z.B einem Webseiten-Login eingegeben werden.

Darüber hinaus, wurde die Malware speziell dafür entwickelt, um Bankdaten zu stehlen.

Sie kann Eingabeformulare für Anmeldeinformationen vorhalten, Phishing-Dialoge erzeugen und nach Kreditkartendetails fragen. Zudem kann es die Installation von Antivirus-Apps verhindern und deren Funktionen blockieren.

Auszug der Bankenliste

Laut Dr. Web war die Malware zunächst gezielt auf türkische Android-Nutzer ausgelegt. Allerdings wurde die Liste in den letzten Tagen auf weitere Länder, wie Deutschland, Frankreich, UK und USA erweitert und für wesentlich mehr Banken zugeschnitten.

Das Entfernen der Malware ist nur im abgesicherten Modus möglich, indem man den Eintrag aus der Geräteadministratorenliste löscht und dann mit einer Antivirenlösung scannt, die die Infektion bereits erkennen kann.

Wesentlich einfacher und präventiver ist es natürlich keine Apps aus nicht vertraulichen Quellen herunter zu laden.

Hier nochmal einige grundlegende Vorsichtsmaßnahmen, um sich vor solchen Bedrohungen zu schützen:

  • Niemals E-Mail-Anhänge aus unbekannten Quellen öffnen.
  • Klicken Sie niemals auf Links in SMS- oder MMS-Nachrichten.
  • Auch wenn die E-Mail aus irgendeiner Firma legitim erscheint, zuerst die Quellen-Webseite überprüfen.
  • Gehen Sie zu Einstellungen → Sicherheit und deaktivieren Sie "Ermöglicht die Installation von Apps aus anderen Quellen als dem Play Store."
  • Halten Sie Ihre Android-Geräte, Apps und Antivirus-App immer auf dem neuesten Stand.
  • Vermeiden Sie unbekannte und ungesicherte Wi-Fi-Hotspots und schalten Sie WLAN aus, wenn Sie es nicht benötigen.