Die COVID-19-Pandemie hat unsere Arbeitsweise und in vielen Fällen auch unseren Umgang mit engen sozialen Kontakten verändert. Während eine Reihe von Regierungen auf Contact-Tracing-Apps setzen, um die Ausbreitung des Virus einzudämmen, entwickeln Cyberkriminelle Tricks, um die Situation für sich auszunutzen, nicht nur für alle Arten von Betrug aller Art sondern auch für Ransomware-Angriffe.

Lukas Stefanko, Malware-Forscher bei ESET, analysierte kürzlich eine neue Ransomware-Familie, die sich als offizielle Contact-Tracing-App der kanadischen Gesundheitsbehörde Health Canada ausgab. Neben den technischen Details zur Ransomware CryCryptor stellte ESET auch ein Entschlüsselungstool zur Verfügung, mit dem Opfer ihre Daten zurückerhalten können.

 

Wir haben mit Lukas zusammengesetzt, um über CryCryptor zu sprechen und darüber, wie diese Ransomware-Familie im Vergleich zu anderen Bedrohungen für Android-Benutzer einzustufen ist.

Hallo Lukas, wie ist es zur Entdeckung von CryCryptor gekommen und wie lief die Analyse ab?

Hallo, die Entdeckung geschah rein durch Zufall, während ich durch Twitter gescrollt habe. Es gabe eine erste Veröffentlichung von Malware-Forschern, die es für eine Bedrohung für Banking-Apps auf Android-Geräten hielten. Dies klang nachvollziehbar, da der Missbrauch des COVID-19-Themas eine populäre Methode darstellt, um Banking-Malware zu verbreiten. Jedoch überprüfe ich solche Einschätzungen meistens noch einmal und schon auf den ersten Blick war klar, dass die App nicht ein typischer "Banker" ist. Dies war der erste Hinweis, der zur Identifizierung der neuen Android-Ransomware-Familie führte.

Du hast erwähnt, dass ein Malware-Forscher auf Twitter CryCryptor für einen Banking-Trojaner gehalten hat. Dies deutet auf eine technische Ähnlichkeit zwischen Ransomware und Banking-Trojanern hin. Wie würdest Du sie vergleichen?

Die Programmierer von Android-Banking-Trojanern nutzen die Pandemie-Situation wo immer es geht aus. Sie verbreiten Malware über gefälschte Webseiten, die sich als COVID-19-Tracker,offizielle Regierungs-Apps, Ratgeber für Covid-19-Symptome, Apps zur Kompensation finanzieller Verluste, gefälschte Zoom-Apps und so weiter ausgeben. Wir haben Dutzende solcher böswilligen Versuche gesehen. Bisher war die Verbreitung von Ransomware über diese Methoden aber nicht beliebt.

VERWANDTER ARTIKEL: Android Banking Malware unter der Lupe

Wenn wir Android-Banking-Trojanern und Android-Ransomware vergleichen, fallen diese Unterschiede auf: Installierte Banking-Trojaner erfordern zusätzliche Aktivitäten von Opfern, um Zugriff auf deren Gelder zu erhalten, z. B. fordern sie den Benutzer dazu auf sich an falschen Login-Seiten anzumelden um dann Authentifizierungscodes für die Zwei-Faktor-Authentifizierung zu stehlen. Bei Ransomware sind keine zusätzlichen Aktionen erforderlich. Sobald man die App startet, werden die Dateien verschlüsselt.

Eine Besonderheit der CryCryptor Ransomware ist, dass sie das Gerät selbst nicht sperrt, sondern alle Dateien im externen Speicher verschlüsselt und dem Opfer eine Warnung diesbezüglich anzeigt. Als ich deinen Artikel zum ersten Mal las, war ich ziemlich überrascht zu sehen, dass die Datei readme_now.txt kein bestimmtes Lösegeld verlangt. Wie häufig ist das?

Der Angreifer könnte das Gerät auch sperren. Bei der neuesten Android-Version ist dies jedoch schwieriger. Der Malware-Entwickler müsste sich wesentlich mehr Mühe geben, um eine solche Funktion zu implementieren. Es ist aber nicht unmöglich. Darüber hinaus ist es nicht üblich, dass kein bestimmter Lösegeldbetrag angegeben wird, der für die Rückentschlüsselung von Dateien gezahlt werden muss. Denn die Nachfrage stellt einen zusätzlichen Schritt dar während dem das Opfer möglicherweise seine Meinung ändert und sich eventuell weigert zu zahlen.

Es ist interessant, dass ein Fehler in der Malware die Entwicklung eines Entschlüsselungstools ermöglichte. Kannst Du uns mehr darüber erzählen, wie Du das Entschlüsselungswerkzeug erstellt hast?

Das war ein Glück! Nach der Analyse einer Ransomware suche ich immer nach einer Möglichkeit einen Entschlüssler zu programmieren, falls der Verschlüsselungsschlüssel nicht zufällig generiert wird, oder eben ein Entschlüsselungstool. Bei einer schnellen Schwachstellenanalyse dieser Ransomware, fand ich einen Fehler, durch den man auch ohne Kenntnis des Verschlüsselungsschlüssels die Entschlüsselungsfunktion auslösen konnte. Bei Test hat es perfekt funktioniert. Also habe ich innerhalb weniger Minuten ein voll funktionsfähiges Entschlüsselungstool programmiert.

Du bist seit Jahren Experte für Bedrohungen durch Android-Malware. Egal ob Exploits oder Malware, welche Bedrohungen werden uns, deiner Meinung nach, in der nächsten Zeit beschäftigen?

Sicherheitslücken werden meistens bei gezielten Angriffen ausgenutzt, damit die Sicherheitslücke nicht einem breiten Publikum zugänglich wird, wozu auch Sicherheits- oder Malware-Forscher gehören, die den Anbieter alarmieren und an der Behebung des Problems arbeiten. Was die Verbreitung von Malware angeht, so sind Android-Banking-Trojaner nach wie vor sehr beliebt. Ich habe viele neue gesehen, die in Untergrundforen verkauft werden. Eine weitere verbreitete Bedrohung geht von Adware- und Anzeigenbetrugs-Apps aus, da sie keine zusätzlichen Eingaben von Benutzern erfordern, damit die Angreifer missbräuchlich Einnahmen über die Telefone generieren.

Welchen Rat würdest Du Android-Nutzern in Bezug auf App-Sicherheit geben?

Laden Sie Apps nur aus dem Google Play Store herunter, achten Sie auf ein aktuelles Android-Betriebssystem und aktuelle Apps sowie auf eine aktuelle und seriöse Android-Sicherheitslösung, die Ihr Smartphone schützt.

Vielen Dank, Lukas.