Fortinet, Anbieter von Netzwerksicherheitslösungen, warnt die Nutzer mobiler Endgeräte vor Ransomware-Angriffen auf Smartphones und Tablets: Schadsoftware dieser Art verbreite sich seit Kurzem zunehmend.
Ransomware (abgeleitet aus dem englischen Begriff „Ransom“, zu deutsch „Lösegeld“) beschränkt die Benutzbarkeit von Mobilgeräten oder sperrt diese ganz. Anschließend verlangt die Schadsoftware vom Nutzer eine Zahlung dafür, dass er wieder Zugriff auf sein Gerät und die darauf gespeicherten Daten erhält. Bis vor Kurzem zielten solche Schadprogramme vor allem auf Desktop- und Notebook-Computer. Inzwischen wächst allerdings die Zahl der Programmvarianten, die speziell für Angriffe auf Mobilgeräte entwickelt wurden.
„Die Bedrohung von Mobilgeräten durch Ransomware gehörte zu den großen IT-Risiken dieses Jahres – vom Auftauchen der ersten Schadsoftware für IOS-Geräte bis zur neuesten Variante, die Telefondaten auf Android-Geräten verschlüsselt“, sagt Christian Vogt, Regional Director Deutschland und Niederlande bei Fortinet.
Die Fortiguard Labs entdeckten zuletzt diese vier Ransomware-Varianten:
Simplocker, entdeckt im Juni 2014: Diese Ransomware kommt in Form „trojanisierter“ Anwendungen daher, etwa als kompromittierter Flash-Player. Das Schadprogramm ist die erste „echte“ Ransomware für Android-Smartphones, die bisher entdeckt wurde. Es verschlüsselt Dateien auf dem Telefon (solche mit den Endungen „jpeg“, „jpg“, „png“, „bmp“, „gif“, „pdf“, „doc“, „docx“, „txt“, „avi“, „mkv“, „3gp“ und „mp4“) und sperrt dann den Zugriff auf diese. Nutzer können Verschlüsselung und Sperre nur aufheben, indem sie ein Lösegeld bezahlen.
Cryptolocker for Mobile, entdeckt im Mai 2014: Das Schadprogramm tarnt sich als Badoink-Video-Downloader. Einmal heruntergeladen, zeigt es einen Sperrbildschirm mit einer Botschaft, die angeblich von der örtlichen Strafverfolgungsbehörde stammt – die Ransomware nutzt die Geolocation-Features des Geräts, um die Fälschung möglichst echt wirken zu lassen. Die Daten auf dem Telefon bleiben davon zwar unberührt. Doch der Sperrbildschirm, der etwa alle fünf Sekunden neu angezeigt wird, macht eine normale Benutzung des Geräts nahezu unmöglich.
Icloud „Oleg Pliss“, entdeckt im Mai 2014: Ist vermutlich verantwortlich für die ersten Berichte über Ransomware für Apple-Geräte. Die einzelnen Schadfälle lassen sich nicht auf ein Schadprogramm im engeren Wortsinne zurückführen, sondern wurden durch kompromittierte Icloud-Accounts und Social Engineering verursacht: Hacker nutzten den Apple-Service „Find My Iphone“ (beziehungsweise Ipad oder Mac) zusammen mit alten Passwörtern, die im Zuge erfolgreicher Passwort-Hacks gestohlen und im Internet verbreitet worden waren. Beides zusammen erlaubte es ihnen, Kontakt- und Kalenderinformationen von betroffenen Geräten zu stehlen oder alle darauf gespeicherten Daten zu löschen. Das klappt allerdings nur auf Geräten, auf denen Nutzer keinen Sperrcode („Phone Lock“) eingerichtet h aben. Existiert ein solcher Code, verhindert er den Zugriff auf das Find-My-Iphone-Feature.
Fakedefend, entdeckt im Juli 2013: eine Ransomware für Android-Smartphones, die sich als Antivirus-Software tarnt. Nach der Installation täuscht das Programm einen Virenscan-Lauf vor, der einige – nichtvorhandene – Bedrohungen zu Tage fördert. Diese werden dem Nutzer zusammen mit der Aufforderung angezeigt, eine geringe Lizenzgebühr zu bezahlen, damit der „Virenscanner“ die Bedrohungen beseitigt. Entschließt sich ein Nutzer für die Zahlung, muss er seine Kreditkartendaten eingeben. Diese werden dann im Klartext an den Server des Angreifers übertragen, der sie dann für kriminelle Zwecke missbrauchen kann.
Christian Vogt empfiehlt Nutzern, die sich vor Ransomware schützen wollen, die folgenden drei Optionen:
Egosecure: Die sieben Todsünden beim Datenschutz
Deutsche Telekom: „Waschmaschine im Netz“ soll mobile Kommunikation schützen
Appriver: E-Mail-Verschlüsselung für Mobilgeräte
Net at Work: E-Mail-Security-Gateway mit Large-File-Transfer-Funktion
Sophos: Advanced Threat Protection für den Mittelstand
Mailbox.org: E-Mail-Anbieter mit vollständig verschlüsselten Postfächern