Erinnern Sie sich noch an unsere Warnung vor dem Erpressungs-Trojaner CryptoLocker? Nun attackiert ein neuer Erpresser-Schädling Android-Nutzer und bringt sich zumindest selbst mit CryptoLocker in Verbindung. Das ist an sich nicht überraschend, wenn man den Marktanteil von Android und den Anstieg von Android-Schadprogrammen bedenkt.
Erpresser-Schädlinge, so genannte Ransomware, sperren die infizierten Computer und verlangen eine Zahlung für die Freigabe. In manchen Fällen macht das Schadprogramm den Computer einfach nur unbenutzbar, solange die Zahlung nicht erfolgt ist. Manche aber – so auch CryptoLocker – verschlüsseln wichtige Dateien auf dem infizierten Computer und verlangen eine Zahlung für die Preisgabe des entsprechenden Schlüssels, mit dem die Dateien wieder entschlüsselt werden können. CryptoLocker ist mit seinen Opfern recht ehrlich und sagt ganz offen, was er will. Andere Erpresser drohen den Opfern dagegen mit der Polizei. Diese Warnungen behaupten normalerweise, dass irgendwelche illegale Inhalte auf dem Opfercomputer gefunden worden seien und zur Entsperrung des Computers eine Strafe bezahlt werden müsse.
Doch im aktuellen Fall bewirbt eine kriminelle Gruppe mit dem Namen Reveton eine neue Art von Ransomware, einen CryptoLocker-ähnlichen Schädling, der Android-Geräte infizieren kann.
Ein bekannter Sicherheitsforscher mit dem Pseudonym „Kaffeine“ hat diesen neuen Schädling entdeckt und in seinem Blog Malware Don’t Need Coffee darüber berichtet. Er fand heraus, dass Anwender, die sich mit ihrem Android-Gerät mit einer infizierten Seite verbinden, auf eine pornografische Seite weitergeleitet werden, die Social Engineering nutzt, um die Anwender dazu zu bringen, eine App herunterzuladen, die den Schädling enthält. Und das ist auch gleichzeitig die gute Nachricht: Der Schädling muss aktiv installiert werden, um das Gerät infizieren zu können. Darum empfehlen wir immer wieder, nur Apps aus dem offiziellen Google Play Store zu installieren.
„Die Sperre durch das Schadprogramm ist ziemlich effektiv“, so Kaffeine in seiner Beschreibung der Erpresser-App. „Sie können zwar noch auf Ihren Startbildschirm gehen, aber sonst scheint nichts mehr zu funktionieren. Der Browser, das Starten von Apps oder die ‚Liste der aktiven Tasks‘ – alles zeigt nur den gesperrten Bildschirm.“
Die App, die der Anwender herunterladen muss, so dass das Gerät infiziert werden kann, ist eine Porno-App. Wird sie gestartet, öffnet sich eine Warnung, die darüber informiert, dass der Anwender des Betrachtens oder des Verteilens von Pornografie auf seinem Telefon beschuldigt wird. Laut der Warnung muss der Anwender mit bis zu 11 Jahren Gefängnis rechnen, außer er zahlt eine Strafe von 300 Dollar per MoneyPak. Die Version des Schädlings, die von der Reveton-Bande beworben wird, bietet Varianten für potenzielle Opfer in über 30 Ländern, darunter Deutschland, Frankreich, Großbritannien, Spanien, Australien und den USA.
Wie ähnlich dieser Erpresser-Schädling wirklich dem berüchtigten CryptoLocker ist, der Desktop-PCs angreift, ist nicht klar. Doch wer immer ihn programmiert hat, nutzt auf jeden Fall den Erfolg des alten CryptoLockers für eine Art krimineller Marketing-Masche. Das ist recht interessant, denn es zeigt, wie sehr Cyberkriminelle legitime Geschäftsmethoden kopeiren, um ihren Profit zu steigern. Aber das ist eine ganz andere Geschichte.