DroidLock: Ransomware mit Zusatz-Features für Android-Smartphones
Eine neu entdeckte Android-Malware sorgt derzeit für erhebliche Unruhe in der IT-Sicherheitsbranche: DroidLock kann infizierte Smartphones nicht nur sperren und für ein Lösegeld wieder freigeben, sondern auch umfassend ausspionieren.
Verbreitet wird DroidLock über manipulierte Webseiten, die gefälschte Apps anbieten und sich als vertrauenswürdige Anwendungen tarnen. Nach Erkenntnissen der Experten beginnt der Angriff mit einem sogenannten Dropper, der Nutzer dazu verleitet, eine vermeintliche Aktualisierung oder Zusatzfunktion zu installieren. Hinter diesem "Update" verbirgt sich jedoch der eigentliche Schadcode. Anschließend fordert die App weitreichende Berechtigungen an, etwa den Zugriff auf die Geräteadministration und die Bedienungshilfen. Damit erhält das Schadprogramm praktisch uneingeschränkte Kontrolle über das Smartphone.
Mit diesen Rechten kann DroidLock eine Vielzahl kritischer Aktionen ausführen: Das Gerät sperren, den PIN oder das Passwort ändern, biometrische Daten zurücksetzen, Apps deinstallieren oder das System auf Werkseinstellungen zurücksetzen. Insgesamt unterstützt die Malware laut Zimperium 15 unterschiedliche Befehle, darunter auch das Stummschalten des Geräts oder das Starten der Kamera.
Der Schadcode kann auch eine täuschend echte Überlagerung auf dem Bildschirm einblenden, um etwa das Entsperrmuster des Nutzers abzugreifen. Wird dieses Muster eingegeben, landet es direkt beim Angreifer - eine Voraussetzung für den späteren Fernzugriff über das VNC-Protokoll.
Zimperium hat die Erkenntnisse an Googles Sicherheitsteam weitergegeben. Dank der Zusammenarbeit im Rahmen der App Defense Alliance erkennt Play Protect die schädlichen Anwendungen inzwischen und blockiert sie auf aktuellen Geräten. Nutzer sollten dennoch vorsichtig bleiben: APK-Dateien von Drittanbietern sollten nur aus absolut vertrauenswürdigen Quellen installiert und die vergebenen Berechtigungen jeder App sollten kritisch geprüft werden.
Siehe auch:
Wieder über Sideloading-Apps
Sicherheitsforscher des Mobile-Security-Unternehmens Zimperium haben die Malware analysiert und warnen vor einer professionell organisierten Kampagne, die sich aktuell vor allem gegen spanischsprachige Nutzer richtet. Dies kann sich allerdings schnell ändern, wenn die Gewinne aus diesem Bereich nachlassen.Verbreitet wird DroidLock über manipulierte Webseiten, die gefälschte Apps anbieten und sich als vertrauenswürdige Anwendungen tarnen. Nach Erkenntnissen der Experten beginnt der Angriff mit einem sogenannten Dropper, der Nutzer dazu verleitet, eine vermeintliche Aktualisierung oder Zusatzfunktion zu installieren. Hinter diesem "Update" verbirgt sich jedoch der eigentliche Schadcode. Anschließend fordert die App weitreichende Berechtigungen an, etwa den Zugriff auf die Geräteadministration und die Bedienungshilfen. Damit erhält das Schadprogramm praktisch uneingeschränkte Kontrolle über das Smartphone.
Mit diesen Rechten kann DroidLock eine Vielzahl kritischer Aktionen ausführen: Das Gerät sperren, den PIN oder das Passwort ändern, biometrische Daten zurücksetzen, Apps deinstallieren oder das System auf Werkseinstellungen zurücksetzen. Insgesamt unterstützt die Malware laut Zimperium 15 unterschiedliche Befehle, darunter auch das Stummschalten des Geräts oder das Starten der Kamera.
Der Schadcode kann auch eine täuschend echte Überlagerung auf dem Bildschirm einblenden, um etwa das Entsperrmuster des Nutzers abzugreifen. Wird dieses Muster eingegeben, landet es direkt beim Angreifer - eine Voraussetzung für den späteren Fernzugriff über das VNC-Protokoll.
Google reagiert
Für die Erpressung blendet DroidLock eine Lösegeldforderung ein, die über WebView übertragen wird. Die Opfer sollen innerhalb von 24 Stunden Kontakt zu einer Proton-Mail-Adresse aufnehmen und zahlen, sonst würden persönliche Dateien unwiederbringlich zerstört, heißt es da. Zwar verschlüsselt die Malware die Daten nicht, doch durch die Drohung und die Sperre des Geräts entsteht ein vergleichbarer Erpressungsdruck.Zimperium hat die Erkenntnisse an Googles Sicherheitsteam weitergegeben. Dank der Zusammenarbeit im Rahmen der App Defense Alliance erkennt Play Protect die schädlichen Anwendungen inzwischen und blockiert sie auf aktuellen Geräten. Nutzer sollten dennoch vorsichtig bleiben: APK-Dateien von Drittanbietern sollten nur aus absolut vertrauenswürdigen Quellen installiert und die vergebenen Berechtigungen jeder App sollten kritisch geprüft werden.
Zusammenfassung
- DroidLock ist eine neue Android-Malware, die Smartphones sperrt und ausspioniert
- Hinter der Ransomware steht eine professionelle Kampagne mit spanischsprachigem Fokus
- Verbreitung erfolgt über gefälschte Apps, die weitreichende Berechtigungen anfordern
- Die Malware kann Geräte sperren, Passwörter ändern und biometrische Daten zurücksetzen
- Nutzer werden zur Lösegeldzahlung per Proton-Mail innerhalb von 24 Stunden aufgefordert
- Google Play Protect erkennt und blockiert die Schadsoftware auf aktuellen Geräten
- Nutzer sollten APK-Dateien nur aus vertrauenswürdigen Quellen installieren
Siehe auch:
Thema:
Das Google Pixel 8 im Preisvergleich
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
- MatePad Pro Max: Huaweis neues Premium-Tablet im Test
- Pixel 10 vs. iPhone 17e: Die beiden Budget-Premiumgeräte im Vergleich
- Oscal PV800 Pro: Günstiger, heller Beamer mit Kompromissen im Test
- ThinkTab X11: Lenovos Tablet für harte Umgebungen im Test
- Samsungs Galaxy-S26-Serie: Welches Smartphone ist das Richtige?
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Crash am Smartphonemarkt: Niedrigste Verkaufszahlen seit 13 Jahren
- Switch 2 OLED: Nintendo plant offenbar doch ein Display-Upgrade
- Pixel 11: Mega-Leak zeigt Bilder & Daten der neuen Google-Smartphones
- Insta360 X6: Technische Daten der neuen 8K/50FPS 360°-Actioncam
- Maps: Google startet großes Optik-Update mit immersiver Navigation
- OnePlus ist 'tot': Oppo will bald Rückzug aus EU & USA verkünden
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!