Pressemitteilung von Sven Kersten-Reichherzer

USA wird Opfer mobiler Ransomware, die sich als das FBI ausgibt

---

---

Lookout ist auf eine überaus bedenkliche Malware gestoßen, die speziell auf Bürger der USA abzielt. Diese Malware kann Mobiltelefone lahmlegen, zu Datenverlust führen und setzt Betroffene mit einer einschüchternden Nachricht unter Druck: "Sie werden vom FBI beschattet, Sie haben sich strafbar gemacht."

Diese Malware nennen wir ScarePakage. Sie gibt sich als bekannte App wie Adobe Flash und andere Anti-Virus-Anwendung aus und gibt vor, das Mobiltelefon beim Einschalten nach Schadsoftware zu durchsuchen. Nach diesem vorgetäuschten Scan wird das Smartphone gesperrt. Die Navigation wird deaktiviert, bei einem Neustart erscheint als erstes diese gefälschte FBI-Nachricht auf dem Bildschirm.

ScarePakage verlangt mehrere hundert Dollar in Form eines MoneyPak-Gutscheins, einer Einweg-Prepaid-Karte, um das Gerät wieder freizuschalten. Die App führt einen Validierungstest durch, um zu überprüfen, ob der Code lang genug ist, jedoch nicht, ob er auch tatsächlich gültig ist.

Die App benötigt keine Root-Rechte, um die Kontrolle über ein Mobiltelefon zu erlangen, dafür aber den Geräteadministrator-Dienst.

Lookout-Benutzer sind gegen diese Bedrohung geschützt.

Und so funktioniert's
Die Malware versucht, möglichst intrusiv zu sein, indem sie die normale Gerätenutzung des Opfers mit der App blockiert. Mit einem Java TimerTask (http://developer.android.com/reference/java/util/TimerTask.html) , der so eingestellt ist, dass er alle 10 Millisekunden durchgeführt wird, beendet die Anwendung sämtliche andere laufende Prozesse sowie Anwendungen, die selbst keine Malware bzw. Einstellungsanwendung sind. Die Malware nutzt außerdem einen Android WakeLock (http://developer.android.com/reference/android/os/PowerManager.WakeLock.html) , um zu verhindern, dass das Gerät in den Standby-Betrieb wechselt.

Die Malware erschwert außerdem das Abschalten des Telefons. Sollte das dem Betroffenen dennoch gelingen, sorgt ein Boot-Receiver für die erneute sofortige Kontrollübernahme des infizierten Gerätes durch ScarePakage. Auch hier werden alle anderen laufenden Prozesse und Anwendungen beendet, mit denen der Benutzer interagiert.

In einigen Fällen stiehlt ScarePakage auch die IMEI, die dem Benutzer zur Abschreckung angezeigt wird. Die Cyberkriminellen versuchen ihrem Opfer zu vermitteln: "Wir wissen, wer du bist." In manchen Fällen sendet ScarePakage diese IMEI zurück zum C&C-Server, um das Gerät zu identifizieren.

Die Funktionalität von ScarePakage ist anderer Ransomware, die wir ColdBrother nennen, sehr ähnlich. Ein anderer Name dafür ist Svpeng.

ColdBrother kann neben der Darstellung einer einschüchternden Nachricht sowie der Sperrung des Mobiltelefons auch ein Foto mit der Frontkamera machen, Anrufe annehmen und diese sofort wieder beenden. Derzeit noch nicht implementiert, aber im Code zu finden, ist die Funktion zum Suchen nach Banking-Anwendungen auf dem mobilen Gerät.

So gehen Sie damit um
ScarePakage stammt möglicherweise aus Russland oder Osteuropa, wie die in der Anwendung verwendete Sprache vermuten lässt.

Leider lässt sich diese Ransomware nur schwer entfernen, sobald diese Malware Administratorrechte für das Mobil-Gerät erhält.

1. Vermeiden Sie es, Apps Administratorrechte einzuräumen, es sei denn, Sie wissen genau, was diese Anwendungen tun.
2. Laden Sie nur Anwendungen von Entwicklern herunter, die Sie kennen und denen Sie wirklich vertrauen.
3. Laden Sie Anwendungen wie Lookout herunter, die diese Bedrohungen rechtzeitig entdecken und beseitigen.

Weitere Informationen zu aktuellen Malware-Bedrohungen finden Sie im Lookout-Blog (https://blog.lookout.com/de/) . Firmen- & Pressekontakt