Aktualisierte Lockdroid-Variante erpresst Nutzer mit eigenem Browserverlauf

SicherheitVirus
Ransomware (Bild: Shutterstock / Carlos Amarillo)

Die Malware wurde von ihren Entwicklern an Googles Design abgepasst, um glaubwürdiger zu erscheinen. Opfern präsentiert sie laut Symantec als Beweis ihrer angebliche illegalen Aktivitäten die tatsächlichen Anruflisten und den Browserverlauf.

Symantec hat vor einer überarbeiteten Variante der Android-Erpressersoftware Lockdroid gewarnt entdeckt. Sie lehnt sich nun an das mit Android 5 eingeführte Design an. Dies gilt insbesondere für den Sperrbildschirm, mit dem Nutzer informiert werden, dass ihr Gerät aufgrund angeblich illegaler Aktivitäten gesperrt wurde.

Symantec Logo (Logo: Symantec)

Der neue Sperrbildschirm der Ransomware zeigt zudem zuvor auf dem Gerät gesammelte persönliche Daten der Nutzer an, die sich über ein leicht zugängliches Menü aufrufen lassen. Wie schon bei anderer Ransomware, wird auch hier wieder mit dem FBI gedroht. “Diese Elemente helfen der Ransomware, ein Opfer einzuschüchtern, damit es bezahlt”, schreibt Symantec-Mitarbeiter Dinesh Venkatesan.

Die Malware rufe nach ihrer Installation beziehungsweise beim ersten Start alle verfügbaren Log-Dateien ab, also auch Anruf- und SMS-Listen sowie den Browserverlauf. Danach werde das Gerät gesperrt und die Lösegeldforderung eingeblendet. Die zuvor gesammelten Nutzerdaten werdn dann als Beweis für die illegalen Aktivitäten präsentiert.

“Auch andere Ransomware-Familien haben früher schon Log-Dateien wie SMS- und Anruflisten ausgelesen. Wir haben allerdings noch keine Ransomware gesehen, die diese Log-Dateien mithilfe des Material Design für das Opfer leicht zugänglich macht”, ergänzt Venkatesan.

Den Lockscreen selbst haben die Hintermänner von Lockdroid mithilfe des Open-Source-Projects MaterialDrawer kreiert. “Es sollte angemerkt werden, dass die Entwickler von MaterialDrawer nicht vorgesehen haben, dass ihre Arbeit für betrügerische Zwecke benutzt wird. Die Verfasser der Ransomware haben das Layout benutzt wie jeder andere seriöse App-Entwickler.”

Lockdroid findt sich Symantec zufolgeh nicht im offiziellen Google Play Store. Die Schadsoftware tarne sich als Video-App und werde über inoffizielle Marktplätze angeboten. Möglich sei aber auch, dass Nutzer durch Installation einer kostenlose Software auf ihrem Computer sich einen sogennanten Browser-Hijacker einfangen, der Suchergebnisse abfängt und ihn auf Seiten weiterleitet, die die Ransomware für Android hosten.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen