Mobile Ransomware: Bösartigkeit in Taschenformat

Originalartikel von Federico Maggi, Senior Threat Researcher

Aus dem Monitoring von mobiler Ransomware im Zeitraum vom April 2015 bis April 2016 lässt sich ein starker Anstieg in der Zahl der Android Ransomware-Samples ablesen, und zwar um 140 %. In bestimmten Bereichen macht Android-Ransomware bis zu 22% der gesamten mobilen Malware aus. Die Zahlen stammen aus dem Mobile App Reputation Service von Trend Micro. Auch zeigt sich, dass die mobile Ransomware denselben Weg nimmt wie die herkömmliche Erpressersoftware – sie entwickelt sich stetig weiter und legt an Volumen zu.

Alles, was mobile Ransomware für ihren Erfolg benötigt, ist Sperren des Bildschirms und die Opfer in Angst und Schrecken versetzen, sodass sie das verlangte Geld bezahlen. Es gibt mehrere interessante Techniken für das Sperren eines Bildschirms oder eines Geräts.

Sperren des Bildschirms

Die SMSLocker-Familie (ANDROIDOS_SLOCKER oder ANDROIDOS_SMSLOCKER) bildete den Anfang dessen, was heute zu Android-Ransomware gezählt wird. Ursprünglich verwendete sie keine Verschlüsselung, sondern versteckte Dateien so, dass der normale Nutzer sie nicht erreichen konnte. Die Variante von 2015 setzte Verschlüsselung mit einem Schlüssel pro Gerät ein, sodass es schwierig war, einen generischen „Unlocker“ zu erstellen. Sie verwendet SMS für die C&C-Kommunikation und einige Varianten nutzen Tor. Der wichtigste Beitrag dieser Ransomware zur mobilen Erpressersoftware bestand im Missbrauch des Android UI APIs zum Sperren des Gerätebildschirms. Es war ein Novum, dass Schadsoftware sich dieser Technik bediente, um die Kontrolle über ein Gerät zu übernehmen. Sie basiert auf dem KeyEvent.Callback API Call:

  • Binden der Callback onKeyDown() and/or onBackPressed()-Funktionen,
  • Callbacks werden jedes Mal angestoßen, wenn das Opfer einen Button drückt,
  • Dem API zufolge, verhindert die App sehr effizient, dass die aktuelle Tätigkeit in den Hintergrund geschoben wird, indem “true” an den nächsten Callback in der Kette weitergegeben wird.



Bild 1. onKeyDown()-Funktion in der Android Package Indexliste

Mittlerweile ist diese Technik bei Android Ransomware sehr verbreitet. Damit werden die Geräte für unerfahrene Nutzer unbrauchbar gemacht, und auch ein Reboot löst das Problem nicht unbedingt, vor allem wenn die Schadsoftware-Familie persistente Techniken einsetzt. Ein erfahrener Nutzer aber kann die bösartige App deinstallieren.

Die aktuelle Locking-Technik beruht auf dem Missbrauch der APIs für die Geräteverwaltung. Der Angreifer kann sie dafür ausnützen, um wiederholt den Passcode mit einem zufallsgenerierten zu ersetzen, um das Gerät zu sperren.

Beispielsweise nutzt das Sample mit dem Hash a6dedc5f639b2e1f7101d18c08afc66d (ANDROIDOS_FAKETOKEN.FCA) diese Technik. Weitere technische Informationen dazu liefert der Originalbeitrag.

Die kommende Version Android 7.0 Nougat beinhaltet Gegenmaßnahmen. Es wird Überprüfungen geben, ob ein Passcode bereits vom Nutzer gesetzt wurde. Ist dies der Fall, so darf keine Geräteverwaltungs-App dies ändern, unabhängig davon, ob sie legitim ist oder nicht.

Bild 2. Code aus Android 7.0 Nougat

Mobile Ransomware setzt Angst als Waffe ein

Wenn es um Angst als Druckmittel geht, so gibt die Schädlingsfamilie Koler (ANDROIDOS_KOLER) ein interessantes Beispiel ab. Sie stellt eigentlich vom technischen Standpunkt eine ganz „gewöhnliche“ Schadsoftware dar, doch nutzt sie ein sehr weites Verteilungsnetzwerk mit Lokalisierung für 60 Länder. Die obligate Lösegeld-„Warnung“ präsentiert sich dem Opfer, als käme sie tatsächlich von der lokalen Polizei. Mit dieser aufwändig zu erstellenden „Authentizität“ soll mehr Druck auf das Opfer ausgeübt werden.

Bild 3. Ransomware-Warnungen in verschiedenen Sprachen (Quelle: Kafeine)

Eine andere interessante Familie ist Svpeng (ANDROIDOS_SVPENG), die möglicherweise als Banking-Trojaner gestartet war. Doch die 2000 analysierten Samples zeigen, die klassischen Fähigkeiten einer modernen mobilen Ransomware. Technische Einzelheiten zu der Funktionsweise liefert der Originalbeitrag.

Fazit

Mobile Ransomware hat dieselben Taktiken übernommen, die schon Desktop-Erpressersoftware so gefährlich gemacht hat. Möglichkeiten diese Bedrohungen zu erkennen und zu blocken liefert der nächste Eintrag.

Der Autor hielt auf der Black Hat Europe 2016 einen Vortrag zu „Pocket-Sized Badness: Why Ransomware Comes as a Plot Twist in the Cat-Mouse Game“. Seine Forschung startete er am Politecnico di Milano (POLIMI). Trend Micros Forschungsteam zu mobilen Schädlingen hat einen substanziellen Beitrag zu dieser Forschung geleistet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*