DroidLock: Ransomware mit Zusatz-Features für Android-Smartphones
Eine neu entdeckte Android-Malware sorgt derzeit für erhebliche Unruhe in der IT-Sicherheitsbranche: DroidLock kann infizierte Smartphones nicht nur sperren und für ein Lösegeld wieder freigeben, sondern auch umfassend ausspionieren.
Verbreitet wird DroidLock über manipulierte Webseiten, die gefälschte Apps anbieten und sich als vertrauenswürdige Anwendungen tarnen. Nach Erkenntnissen der Experten beginnt der Angriff mit einem sogenannten Dropper, der Nutzer dazu verleitet, eine vermeintliche Aktualisierung oder Zusatzfunktion zu installieren. Hinter diesem "Update" verbirgt sich jedoch der eigentliche Schadcode. Anschließend fordert die App weitreichende Berechtigungen an, etwa den Zugriff auf die Geräteadministration und die Bedienungshilfen. Damit erhält das Schadprogramm praktisch uneingeschränkte Kontrolle über das Smartphone.
Mit diesen Rechten kann DroidLock eine Vielzahl kritischer Aktionen ausführen: Das Gerät sperren, den PIN oder das Passwort ändern, biometrische Daten zurücksetzen, Apps deinstallieren oder das System auf Werkseinstellungen zurücksetzen. Insgesamt unterstützt die Malware laut Zimperium 15 unterschiedliche Befehle, darunter auch das Stummschalten des Geräts oder das Starten der Kamera.
Der Schadcode kann auch eine täuschend echte Überlagerung auf dem Bildschirm einblenden, um etwa das Entsperrmuster des Nutzers abzugreifen. Wird dieses Muster eingegeben, landet es direkt beim Angreifer - eine Voraussetzung für den späteren Fernzugriff über das VNC-Protokoll.
Zimperium hat die Erkenntnisse an Googles Sicherheitsteam weitergegeben. Dank der Zusammenarbeit im Rahmen der App Defense Alliance erkennt Play Protect die schädlichen Anwendungen inzwischen und blockiert sie auf aktuellen Geräten. Nutzer sollten dennoch vorsichtig bleiben: APK-Dateien von Drittanbietern sollten nur aus absolut vertrauenswürdigen Quellen installiert und die vergebenen Berechtigungen jeder App sollten kritisch geprüft werden.
Siehe auch:
Wieder über Sideloading-Apps
Sicherheitsforscher des Mobile-Security-Unternehmens Zimperium haben die Malware analysiert und warnen vor einer professionell organisierten Kampagne, die sich aktuell vor allem gegen spanischsprachige Nutzer richtet. Dies kann sich allerdings schnell ändern, wenn die Gewinne aus diesem Bereich nachlassen.Verbreitet wird DroidLock über manipulierte Webseiten, die gefälschte Apps anbieten und sich als vertrauenswürdige Anwendungen tarnen. Nach Erkenntnissen der Experten beginnt der Angriff mit einem sogenannten Dropper, der Nutzer dazu verleitet, eine vermeintliche Aktualisierung oder Zusatzfunktion zu installieren. Hinter diesem "Update" verbirgt sich jedoch der eigentliche Schadcode. Anschließend fordert die App weitreichende Berechtigungen an, etwa den Zugriff auf die Geräteadministration und die Bedienungshilfen. Damit erhält das Schadprogramm praktisch uneingeschränkte Kontrolle über das Smartphone.
Mit diesen Rechten kann DroidLock eine Vielzahl kritischer Aktionen ausführen: Das Gerät sperren, den PIN oder das Passwort ändern, biometrische Daten zurücksetzen, Apps deinstallieren oder das System auf Werkseinstellungen zurücksetzen. Insgesamt unterstützt die Malware laut Zimperium 15 unterschiedliche Befehle, darunter auch das Stummschalten des Geräts oder das Starten der Kamera.
Der Schadcode kann auch eine täuschend echte Überlagerung auf dem Bildschirm einblenden, um etwa das Entsperrmuster des Nutzers abzugreifen. Wird dieses Muster eingegeben, landet es direkt beim Angreifer - eine Voraussetzung für den späteren Fernzugriff über das VNC-Protokoll.
Google reagiert
Für die Erpressung blendet DroidLock eine Lösegeldforderung ein, die über WebView übertragen wird. Die Opfer sollen innerhalb von 24 Stunden Kontakt zu einer Proton-Mail-Adresse aufnehmen und zahlen, sonst würden persönliche Dateien unwiederbringlich zerstört, heißt es da. Zwar verschlüsselt die Malware die Daten nicht, doch durch die Drohung und die Sperre des Geräts entsteht ein vergleichbarer Erpressungsdruck.Zimperium hat die Erkenntnisse an Googles Sicherheitsteam weitergegeben. Dank der Zusammenarbeit im Rahmen der App Defense Alliance erkennt Play Protect die schädlichen Anwendungen inzwischen und blockiert sie auf aktuellen Geräten. Nutzer sollten dennoch vorsichtig bleiben: APK-Dateien von Drittanbietern sollten nur aus absolut vertrauenswürdigen Quellen installiert und die vergebenen Berechtigungen jeder App sollten kritisch geprüft werden.
Zusammenfassung
- DroidLock ist eine neue Android-Malware, die Smartphones sperrt und ausspioniert
- Hinter der Ransomware steht eine professionelle Kampagne mit spanischsprachigem Fokus
- Verbreitung erfolgt über gefälschte Apps, die weitreichende Berechtigungen anfordern
- Die Malware kann Geräte sperren, Passwörter ändern und biometrische Daten zurücksetzen
- Nutzer werden zur Lösegeldzahlung per Proton-Mail innerhalb von 24 Stunden aufgefordert
- Google Play Protect erkennt und blockiert die Schadsoftware auf aktuellen Geräten
- Nutzer sollten APK-Dateien nur aus vertrauenswürdigen Quellen installieren
Siehe auch:
Thema:
Das Google Pixel 8 im Preisvergleich
Expert.de 
DieTechnik 
Expert_ecommerce 
Technikdirekt Beliebt im Preisvergleich
- Handys ohne Vertrag:
Android-Videos
-
POCO X8 Pro im Test: Viel Smartphone für einen recht kleinen Preis
-
Klein, günstig aber mit Schwächen: Magcubic Mini-Beamer im Test
-
MagicPad 4: Honors Versuch zum Tablet-Gipfelsturm im Test
-
Erstaunliche Vielfalt: Die besten Tablets für unter 300 Euro
-
Samsung, OnePlus und Xiaomi: Vier aktuelle Tablet-Modelle im Vergleich
Neue Android-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Windows 11 bekommt einen Button zum Entfernen aller KI-Modelle
- Meta macht (ein bisschen) Rückzieher bei Mitarbeiter-Totalüberwachung
- Update für Google Home: Gemini-KI startet nun auch in Deutschland
- Vernichtende Kritik: MMO-Hoffnung Camelot Unchained ein totaler Flop
- Komplett zerstörte Startrampe: Blue Origin hat aggressiven Aufbauplan
- Microsoft Surface Pro 13-Zoll: Das ist das Tablet mit Snapdragon X2 Elite
- Google will Android-Entwickler für Zugang zum App-Code bezahlen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon