Cyberkriminelle haben die neuartige Ransomware DoubleLocker auf den Weg gebracht, die auf den Grundlagen eines speziellen Banking-Trojaners beruht und die Android Bedienungshilfen-Einstellungen missbraucht.

ESET Malware-Forscher Lukáš Štefanko entdeckte DoubleLocker. Die Android-Ransomware vereint zwei ausgereifte Tools, um Geld von seinen Opfern zu erpressen. Eine solche Android-Erpresser-Software wurde zuvor in der Android-Welt noch nie beobachtet.

WeLiveSecurity setzte sich mit Lukáš zusammen, um mehr über die Entdeckungsgeschichte von DoubleLocker zu erfahren. Außerdem schildert er seine Sicht über kommende Trends bei Android Ransomware.

Aus dem DoubleLocker Artikel geht hervor, dass die Android Ransomware ziemlich innovativ daherkommt. Wie siehst du das?

DoubleLocker ist die erstbekannte Android Ransomware, welche zwei Dinge vereinigt – zum einen verschlüsselt sie das primäre Dateisystem des Android-Geräts und zum anderen sperrt die Malware das Smartphone oder Tablet, indem die PIN geändert wird. Obendrein ist DoubleLocker auch die erste Android Ransomware, welche die Android Bedienungshilfen zu ihren Gunsten ausnutzt.

Aus den zwei genannten Gründen kann man sagen, dass DoubleLocker als durchaus innovativ bezeichnet werden kann.

OK, aber welche Bedeutung hat die Ransomware DoubleLocker in der Praxis?

Das analysierte Sample beinhaltet zwar einige Bugs, im Großen und Ganzen funktioniert die Malware aber so, wie es sich die Malware-Entwickler gedacht haben. Selbst der Kompromittierungsmechanismus arbeitet gut – Dieser ist ganz wesentlich für die Bestimmung der Bedeutung der Android Ransomware in der Praxis.

Bedeutend ist auch die Tatsache, dass DoubleLocker von einer etablierten Banking-Malware-Familie abstammt. Obwohl die Malware-Entwickler die neuartige Android Ransomware um die Fähigkeiten eines echten Banking-Trojaners beraubten (z.B. Abschöpfen von Anmeldeinformationen des Girokontos), können wir erwarten, dass zukünftige Malware direkt Geld vom Bankkonto versuchen wird zu ergaunern und anschließend Lösegeld für das Entsperren des Android Smartphone oder Tablets erpressen wird. Diese Malware nennen wir dann Ransom-Banker.

Das klingt wahrlich nach einem Albtraum. Hoffentlich verwirklicht sich dieser nicht allzu bald.

Leider habe ich an dieser Stelle schlechte Neuigkeiten. Bereits im Mai 2017 spürten wir eine Android Banking Malware auf, die in der Lage war, Dateien zu verschlüsseln und Lösegeld zu erpressen. Vermutlich war das zunächst nur ein Test. Allerdings zeigt es, dass die Bösewichte jede Möglichkeit nutzen, ihre Tools und Position (gegenüber Ermittlungsbehörden und anderen Gangs) zu verbessern.

In deinen Forschungen erwähntest du die Android Bedienungshilfen als Grund für die Kompromittierung mit DoubleLocker. Wie gefährlich macht dieser Umstand die neuartige Android Ransomware?

Die Android Bedienungshilfen sind eigentlich für Personen mit körperlichen Beeinträchtigungen gedacht. Leider bergen sie ein hohes Sicherheitsrisiko. Es erlaubt Apps Aktionen (wie das Klicken auf Buttons in Dialogboxen und im System-Menü) ohne die Zustimmung und dem Wissen des Users durchzuführen.

Das bringt uns zurück zur Frage: Das Ausnutzen des Bedienungshilfen-Services ist ein schmutziger Trick, der de facto das Android-Gerät des Opfers übernimmt. Tatsächlich ergibt es Sinn, wenn wir da sagen, dass die Bedienungshilfen-Option die DoubleLocker Ransomware gefährlicher macht – und das selbst ohne der Funktionalität, direkt Geld von den Bankkonten der Opfer zu ergaunern.

Implementieren die Cyberkriminellen die Banking-Funktionalität – und ich zweifle nicht daran, dass das so kommen wird – resultiert das in einen wahrgewordenen Albtraum: den Ransom-Banker.

Ja, Ransom-Banker, wie du diese neue Malware nennst, scheint wahrhaftig mehr Schaden anrichten zu können, als Android Ransomware oder Banking Malware alleine. Warum sollten sie sich allerding größeren Schwierigkeiten als mit der Implementierung einer Backdoor aussetzen? Damit können doch dann Banking Malware, Ransomware oder Ransom-Banker auf das Gerät ferngesteuert heruntergeladen werden.

Ja, das ist ein guter Punkt. Wenn das Android-Gerät Teil eines Botnets ist, kann es mit jeglicher momentan verfügbaren Malware in Berührung kommen. Allerdings präferieren die cyberkriminellen Betreiber eines Botnets ein stetiges Einkommen, z.B. via Online-Werbebetrug – Speziell meine ich Fake-Clicks durch ferngesteuerte Geräte. Mit anderen Worten greifen die Botnet-Betreiber kaum auf Handlungen zurück, die ihre Cash-Cows zerstören würden. Beispielsweise würde das verteilen eines PIN-Lockers im Botnet dazu führen, dass die Android User einen Factory-Reset durchführen. Das würde die Android-Geräte von der Kompromittierung befreien. Auf diese Weise verliert das Botnet allerdings auch seine Bots. Die Botnet-Betreiber würden sich also selbst mehr schaden.

Im Endeffekt sind Bot-Geräte vor zerstörerischen Maßnahmen relativ sicher, insbesondere vor Ransomware.

Nun zurück zur Frage: Botnets eignen sich als Werkzeug, um langfristigen (illegalen) Profit aus Cyberkriminalität zu generieren. Ich befürchte, dass Ransom-Banker eher zur absichtlichen Zerstörung eingesetzt werden – den Cyberkriminellen geht es wahrscheinlich darum, so viel Schaden wie möglich anzurichten.

Wir danken Lukáš für das Gespräch.