Android-Smartphones: Ransomware per Drive-by-Angriff verteilt
Android-Nutzer, die auf die Installation von Apps aus unsicheren Quellen verzichten, sind vor Malware relativ sicher – das gilt allerdings nicht mehr uneingeschränkt. Die Sicherheitsfirma Bluecoat(öffnet im neuen Fenster) hat nach eigenen Angaben erstmals Drive-by-Angriffe auf Android-Geräte in einer kommerziellen Kampagne aufgedeckt. Über mehrere Sicherheitslücken aus dem Hacking-Team-Fundus und über Towelroot besorgt die Malware sich die erforderlichen Rechte, der eigentliche Code wird dann per Exploit-Kit nachgeladen.
Das Exploit-Kit wird genutzt, um eine App auf das Gerät der Nutzer einzuschmuggeln. Dabei wird der eigentlich übliche Bestätigungsdialog außer Kraft gesetzt. Neben dem Besuch der infizierten Webseite ist also keine aktive Handlung der Nutzer erforderlich. Der verwendete Exploit gegen libxslt wurde im Hacking-Team-Leak gefunden. Er war 2014 erstmals entdeckt worden und wird per Javascript ausgeführt. Außerdem enthält die heruntergeladene Elf-Datei den Code für Towelroot. Die installierte Malware wurde unter dem Namen Cyber Police bereits im vergangenen Jahr erstmals entdeckt.
Ransomware ohne Verschlüsselung
Die Ransomware verschlüsselt den Speicher des Gerätes nicht, installiert aber einen permanenten Lockscreen. Das Gerät kann nur genutzt werden, um den geforderten Erpressungsbetrag von 200 US-Dollar zu zahlen. Anders als die meiste Ransomware setzt Dogspecter nicht auf Bitcoin-Zahlungen, sondern fordert die Nutzer zur Eingabe von zwei Itunes-Codes im Wert von je 100 US-Dollar auf.
Die Malware ließ sich nach Angaben von Bluecoat nicht durch einfaches Flashen des Gerätes entfernen, nach einem Rücksetzen des Smartphones auf Werkeinstellungen war sie jedoch verschwunden.
Die betroffenen Android-Versionen sind relativ alt – 4.0.3 bis 4.4.4 – doch zahlreiche, vor allem günstige Geräte, nutzen immer noch diese Versionen und bekommen kein Update. Auch Custom-ROMs schaffen nicht immer Abhilfe, weil sie nicht für alle Smartphones verfügbar sind. Noch immer sind zahlreiche Geräte verwundbar.
| Plattform | API-Level | Anteil |
|---|---|---|
| Android 4.4 alias Kitkat | 19 | 34,3 Prozent |
| Android 5.1 alias Lollipop | 22 | 19,2 Prozent |
| Android 5.0 alias Lollipop | 21 | 16,9 Prozent |
| Android 4.2.x alias Jelly Bean | 17 | 11 Prozent |
| Android 4.1.x alias Jelly Bean | 16 | 8,1 Prozent |
| Android 4.3 alias Jelly Bean | 18 | 3,2 Prozent |
| Android 2.3.3 - 2.3.7 alias Gingerbread | 10 | 2,6 Prozent |
| Android 4.0.3 - 4.0.4 alias Ice Cream Sandwich | 15 | 2,3 Prozent |
| Android 6.0 alias Marshmallow | 23 | 2,3 Prozent |
| Android 2.2 alias Froyo | 8 | 0,1 Prozent |
Im aktuellen Fall wurden recht alte, in neueren Modellen gepatchte Sicherheitslücken verwendet. Doch offenbar sind auch Android-Nutzer ein lohnendes Ziel für Kriminelle.