Malvertising-Kampagne schleust Erpresser-Software auf ältere Android-Geräte

CyberkriminalitätSicherheit
Ransomware (Bild: Shutterstock / Carlos Amarillo)

Per Javascript werden Anwender zu einem Exploit-Kit weitergeleitet. Dieses nutzt die Towelroot-Lücke und einen von Hacking Team entwickelten Exploit. Die Ransomware infiziert ein verwundbares Gerät ohne Zutun des Nutzers als Drive-by-Download. Als anfällig gelten Geräte mit Android 4.0.3 bis 4.4.4.

Forscher des Sicherheitsunternehmens Blue Coat Labs haben auf eine neue Malvertising-Kampagne hingewiesen, welche Nutzer älterer Android-Geräte trifft. Demzufolge leiten gefährliche Anzeigen Anwender von Mobilgeräten mit Android 4.0.3 bis 4.4.4 per JavaScript zu einem Exploit Kit weiter, das die Towelroot-Lücke sowie einen von Hacking Team entwickelten Exploit nutzt, um Erpresser-Software einzuschleusen.

Ransomware (Bild: Shutterstock / Carlos Amarillo)

Die Attacke gilt als besonders gefährlich, da die Ransomware als Drive-by-Download ohne Zutun des Nutzers auf verwundbare Geräte gelangt. “Es ist meines Wissens nach das erste Mal, dass ein Exploit erfolgreich gefährliche Apps ohne Nutzerinteraktion auf Seiten des Opfers auf einem mobilen Gerät installiert hat”, erklärt Andrew Brandt, Director of Threat Research bei Blue Coat. “Während des Angriffs zeigte das Gerät nicht den üblichen Dialog für die Berechtigungen der Anwendung, der normalerweise der Installation einer Android-App vorausgeht.”

Umfrage

Plant Ihr Unternehmen die Anschaffung von 2-in-1-Geräten auf Basis von Windows 10?

Ergebnisse

Loading ... Loading ...

Blue Coat entdeckte den Angriff zum ersten Mal Mitte Februar auf einem zu Testzwecken eingesetzten Samsung-Tablet mit dem auf Android 4.2.2 basierenden CyanogenMod 10. Seither hätten sich mindestens 224 Mobilgeräte mit den Kommandoservern der Kriminellen verbunden.

cyberpolice-ransomware-bluecoat (Bild: Blue Coat)
Die Ransomware Dogspectus gibt vor, im Auftrag einer US-Strafverfolgungsbehörde die Internetnutzung des Opfers zu überwachen

Die Erpresser-Software mit dem Namen Dogspectus gibt vor, im Auftrag einer US-Strafverfolgungsbehörde die Internetnutzung des Opfers zu überwachen. Auch wenn die Ransomware keine Dateien verschlüsselt, so sperrt sie doch das Gerät und macht es somit unbrauchbar. Dogspectus wird bei jedem Start des Geräts geladen und verlangt ein Lösegeld in Höhe von 100 Dollar. Das soll aber nicht, wie bei anderer Schadsoftware dieser Art üblich, in Bitcoin, sondern mit iTunes-Geschenkkarten bezahlt werden.

Die Ransomware kann laut Blue Coat nicht deinstalliert werden. Betroffene Anwender müssen ihr Smartphone oder Tablet auf die Werkseinstellungen zurücksetzen, um die Kontrolle über ihr Gerät zurückzuerhalten. Die anfälligen Android-Ausgaben 4.0.x Ice Cream Sandwich, 4.1 bis 4.3 Jelly Bean und 4.4 KitKat sind laut Googles eigener Statistik zufolge gegenwärtig auf etwa 56,9 Prozent aller Android-Geräte, die auf den Play Store zugreifen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen