Letzte Woche haben wir über Desktop-Ransomware gesprochen, was ein recht unangenehmes Thema ist. Ransomware wurde nicht nur auf Desktop-PCs, sondern auch auf mobilen Geräten gefunden – und dieser Fall tritt immer häufiger auf.
Heute werden wir über die weit verbreitetsten Arten von mobiler Ransomware sprechen. Wir erhielten die Statistiken in diesem Post von unseren Sicherheitslösungen.
https://media.kasperskydaily.com/wp-content/uploads/sites/96/2016/06/30171746/ransomware-template-2-featured.jpg
Was ist mobile Ransomware?
Viele wissen bereits, was Ransomware ist – und das Bewusstsein nimmt zu. Die weit verbreitetste – und störendste – Art von Desktop-Ransomware ist der Cryptolocker; Malware, die Ihre Daten verschlüsselt und Ihnen eine Wiederherstellung anbietet, wenn Sie ein Lösegeld zahlen. Eine andere Art von Ransomware, der Blocker, blockiert entweder Browser oder Betriebssysteme und fordert ein Lösegeld, um im Gegenzug erneuten Zugriff zu gewähren. Heutzutage sind Desktopblocker weniger verbreitet als Crypto-Ransomware, meist, weil Letztere effizienter ist, damit das Geld in die Hände von Kriminellen gelangt.
Die Bedrohungslandschaft für mobile Geräte ist jedoch genau das Gegenteil. Es existieren fast keine Cryptolocker für Android-Geräte, weil die Betriebssysteme und Anwendungen Cloud-Backups erstellen. Wenn User ihre Dateien gesichert haben, gibt es keinen Grund, ein Lösegeld zu zahlen, und deshalb haben Entwickler wenig Antrieb, Android-Nutzer anzugreifen.
Blocker sind die bekannteste Methode, Android-Geräte zu infizieren. Auf Mobiltelefonen gehen sie so vor, dass die einfach die Schnittstelle jeder App mit ihrer eigenen überdecken, so dass das Opfer keine einzige Anwendung mehr verwenden kann. PC-Besitzer können einen Blocker relativ leicht loswerden – alles was sie tun müssen, ist, die Festplatte zu entfernen, sie auf einem anderen Computer anzuschließen und die Blocker-Dateien zu beseitigen. Aber Sie können nicht einfach den Hauptspeicher von Ihrem Telefon entfernen – er ist an die Hauptplatine gelötet. Darum nehmen Blocker 99% des Mobile-Ransomware-„Marktes“ ein.
Kleine Big Players
Zwischen 2014–2015 gab es vier Hauptakteure, die die mobile Ransomware-Szene dominierten: Svpeng, Pletor, Small und Fusob. Zu dieser Zeit hatte Pletor sein Wachstum fast gestoppt; seine Entwickler lancierten den berüchtigten Acecard-Trojaner und machten den Anschein, ihre Ressourcen stattdessen zur Entwicklung und Verbreitung zu verwenden. Die Entwickler von Svpeng haben sich auch erneut auf die Bankingversion des Trojaners fokussiert. Somit verbleiben nur zwei große mobile Ransomware-Familien, Small und Fusob. Dadurch repräsentierten diese zwei Trojaner zwischen 2015–2016 mehr als 93% der mobilen Ransomware.
https://media.kasperskydaily.com/wp-content/uploads/sites/96/2016/06/30171750/mob-ransomware-chart.png
Es ist erwähnenswert, dass die Fusob- und Small-Trojaner-Familien viel gemeinsam haben. Beide zeigen falsche Bildschirmmeldungen an, die vorgeben, von einer Behörde signiert zu sein und beschuldigen das Opfer eines Vergehens. Beide behaupten, dass ein Strafverfahren eröffnet wird, es sei denn, der Nutzer zahle die Geldstrafe.
Fusob und Small baten recht merkwürdige Zahlungswege für das Lösegeld an. Fusob empfahl die Zahlung mit iTunes-Geschenkkarten, wohingegen Small den Opfern die Option anbot, mit dem Kiwi-Zahlungssystem oder mit MoneyPak-xpress-Gutscheinen zu zahlen. Beide wurden wahrscheinlich von einer russischsprachen Cyberbande erstellt, aber mit sehr unterschiedlichen Ansätzen.
Fusob erkennt zuerst die Sprache des Geräts, und wenn sie eine der Sprachen der ehemaligen sowjetischen Republik ist, unternimmt Fusob nichts. Andernfalls wird ein Bildschirm angezeigt, der angeblich von der NSA ist und ein Lösegeld – zwischen 90 und 180 EUR – verlangt. Die Mehrheit der Opfer von Fusob (mehr als 41%) lebt in Deutschland – Großbritannien und die USA liegen mit 14,5% und 11,4% auf dem zweiten und dritten Platz.
https://media.kasperskydaily.com/wp-content/uploads/sites/96/2016/06/30171753/small-fusob.jpg
Dann haben wir noch die Small-Familie. Fast 99% der Opfer von Small kommen aus drei Ländern, die Fusob vermeidet: aus Russland, Kasachstan und der Ukraine. Small-Ransomware zeigt eine vermeintlich von der Regierung stammende Bildschirmmeldung mit Zahlungsanweisungen, Drohungen und einer Forderung von 700–3,500 Rubeln (10 bis 50 EUR) an, um das infizierte Gerät zu entsperren. Es gibt auch eine Version von Small für den englischsprachigen Raum – mit einem anderen Blockierungsbildschirm, der das FBI erwähnt und über 270 EUR fordert.
Es gibt zwei weitere Versionen von Small. Eine ist ein Cryptolocker, der dieselben Operationen durchführt, wie die erste Version, und darüber hinaus die Dateien auf der SD-Karte des Geräts verschlüsselt. Die zweite ist ein multifunktionaler Trojaner, der dazu fähig ist, Geld zu stehlen, Daten abzuziehen und natürlich das Gerät zu sperren.
Was passiert und was erwartet werden muss
Als die mobile Malware noch keine große Sache war, begannen wir, Alarm zu schlagen. Wie wir voraussagten, hat diese Art von Malware eine explosionsartige Wachstumsrate – und sie zeigt keinerlei Anzeichen einer Abschwächung. Zwischen 2014 und der Gegenwart haben sich Angriffe auf Mobiltelefone fast vervierfacht!
Die Zahl der Ransomware-Opfer unter ihnen steigt auch an – sie hat sich mehr als verdoppelt, von 2,04 % zu 4,63 %. Letztes Jahr stellten die USA das Hauptziel für mobile Ransomware dar – einer von zehn Nutzern, der auf Malware stieß, fand diese in Form einer mobilen Ransomware. Nun sind es zwei von zehn in Deutschland und Kanada, einer von sieben in Großbritannien, den USA und Kasachstan, und mehr als einer von zehn in Italien und den Niederlanden.
Well-maintained backup solution is an impt part of your protection from Cryptolocker ransomware both on PC & Android. http://t.co/ZifMqg4EsI
— Kaspersky (@kaspersky) June 11, 2014
Wir erwarten, dass mobile Malware – besonders mobile Ransomware – nächstes Jahr noch verbreiteter wird. Weitere detaillierte Berichte zu Ransomware finden Sie unter securelist.com.
Wie Sie sich schützen können
- Installieren Sie Anwendungen nur von offiziellen Shops, wie Google Play. Um sicherzustellen, dass keine Anwendung von einer unsicheren Quelle auf Ihrem Gerät installiert wird, gehen Sie zu Android-Einstellungen, wählen Sie „Sicherheit“, und stellen Sie sicher, dass das Kästchen „unbekannte Quelle“ nicht markiert ist.
- Aktualisieren Sie regelmäßig Ihre Firmware und installieren Sie Ihre Anwendungen. Sie können Apps automatisch aktualisieren, aber Sie müssen das System manuell aktualisieren – und es ist besser, dies zu tun, sobald ein OTA- (over-the-air)-Update zur Verfügung steht.
- Installieren Sie eine starke Sicherheitslösung. Selbst wenn Sie sämtliche Aktualisierungen installiert haben und Apps nur von offiziellen Quellen herunterladen, haben Sie das Risiko nicht komplett ausgeschaltet. Malware kann in Google Play lauern und kann auch von Exploit-Kits verbreitet werden, indem noch unbekannte Schwachstellen verwendet werden. Um zu vermeiden, ein Opfer von mobiler Ransomware zu werden, empfehlen wir Ihnen, die vollständige Version von Kaspersky Internet Security für Android zu verwenden, da nur diese Version konstant überwacht, was auf Ihrem Gerät geschieht, und Bedrohungen beseitigt, sobald sie auftreten.