Ransomware auf Android-Geräten

Schluss mit mobiler Erpresserung

Bogdan Botezatu ist Computer-Sicherheitsexperte und hat langjährige Erfahrung in den Bereichen Cyberware sowie Mobile- und Soziale Netzwerk-Malware. Als Senior e-Threat-Analyst hat er entscheidend an der Entwicklung des Bitdefender USB Immunizer und Bitdefender Removal Tools mitgearbeitet.
Im Folgenden erfahren Sie, welches Schema und kriminelle Geschäftsmodell hinter Ransomware für Googles Android-Betriebssystem steht. Zudem erhalten Sie Tipps zum effektiven Schutz vor mobilen Ransomware-Angriffen.

Sie verstecken sich hinter abstrakten oder manchmal fast niedlichen Namen: "WannaCry", "NotPetya" oder "Bad Rabbit". Doch für die Betroffenen sind sie häufig der digitale Supergau. Gemeint sind Formen von Ransomware, so genannte Erpressungssoftware.

Ein neue Angriffsvektor

Generell bezeichnet Ransomware eine Art von Schadsoftware (englisch: Malware), die den Zugriff auf Dateien durch Verschlüsselung und Funktionseinschränkungen blockiert. Betroffene Rechner und mobile Endgeräte können erst nach einer Lösegeld-Zahlung wieder entsperrt werden, um die Daten wieder zugänglich und normal lesbar zu machen. Viele solcher digitalen Schädlinge machten im vergangenen Jahr Schlagzeilen, da sie es mitunter auf große Unternehmen und Organisationen abgesehen hatten.

Die Bedrohung durch Ransomware ist im digitalen Alltag allgegenwärtig: Laut Statistiken von Bitdefender soll jede sechste Spam-E-Mail mit irgendeiner Form von Ransomware gebündelt sein. Darunter fallen Links zu Drive-by-Download-Sites, verseuchte Anhänge oder sogar JavaScript/VBS-Downloader für Ransomware.

Der vermehrte Einsatz von Mobilgeräten mit Android-Betriebssystem im Unternehmensumfeld macht sie zu einer lukrativen Zielscheibe für Erpresser.
Der vermehrte Einsatz von Mobilgeräten mit Android-Betriebssystem im Unternehmensumfeld macht sie zu einer lukrativen Zielscheibe für Erpresser.
Foto: Atstock Productions - shutterstock.com

Während es die meisten Ransomware-Arten in den vergangenen Jahren hauptsächlich auf PCs abgesehen hatten, haben Cyberkriminelle in der Bedrohung von Googles mobilem Betriebssystem Android mittlerweile ebenfalls ein lukratives Geschäftsmodell entdeckt. Grund dafür ist vor allem die Tatsache, dass Android-Betriebssysteme verstärkt für Mobilgeräte eingesetzt werden und letztere in Zeiten des mobilen Arbeitens oftmals mit Firmennetzwerken in Kontakt kommen. Zudem führen Anwender auch sensible Transaktionen wie Online-Banking mittlerweile gehäuft von mobilen Endgeräten aus durch.

Wie funktioniert Android Ransomware?

Die kriminelle Psychologie, die hinter der meisten Ransomware steckt, ist vergleichsweise simpel: Wegen des eingeschränkten Zugangs einer Anwendung innerhalb des Android-Betriebssystems ist die meiste Ransomware darauf beschränkt, einen schwer zu entfernenden, nervenden Bildschirm anzuzeigen. Dieser erinnert das Opfer im Laufe der Anwendung ständig daran, einen Betrag von bis zu mehreren Hundert US-Dollar zu bezahlen.

Während herkömmliche, PC-basierte Schadsoftware tatsächlich Daten auf dem Gerät verschlüsseln kann, schränkt Android-Ransomware also den Zugriff auf die Funktionen des Geräts ein. Da das Entfernen dieser Ransomware-Variante mit einem relativ einfachen Zurücksetzen auf die Werkseinstellungen durchgeführt werden könnte, gehen Cyberkriminelle in ihren Angriffen mittlerweile wesentlich hinterhältiger vor. So werden Daten auf austauschbaren SD-Karten verschlüsselt und Bilder, Dokumente und andere Arten von Dateien, die auf der Speicherkarte abgeleght sind, unlesbar gemacht, bis eine Lösegeldzahlung erfolgt.

Perfide: Einige Android-Ransomware-Varianten können sogar Administratorenrechte für das Gerät erhalten. Obwohl sie die gespeicherten Daten nicht verschlüsseln, können sie den PIN-Code des Geräts ändern. Ohne das Lösegeld zu zahlen, würden die Opfer auf unbestimmte Zeit praktisch aus ihren Geräten ausgeschlossen werden. Für viele Nutzer kommt diese Vorstellung einem digitalen Supergau gleich.

Letztlich spielt die Hilflosigkeit der Opfer den digitalen Erpressern in die Hände. Verschiedene Studien ergaben, dass 50 Prozent der Ransomware-Opfer sogar bereit wären, überschaubare Summen zu bezahlen, um wieder Zugang zu ihren Daten zu erhalten. Entsprechend versuchen Cyberkriminelle ständig neue Methoden zu entwickeln, um die Bedrohungen komplexer zu gestalten und die Entfernung der Malware für Anwender zu verkomplizieren.

Der monetäre Verlust, der 2017 weltweit durch Ransomware entstand, wird in Milliardenhöhe beziffert. Das macht die Lösegeld-Kriminalität übrigens zur finanziell lukrativsten Schadsoftware-Variante. Experten gehen davon aus, dass die Bedrohung in naher Zukunft nicht verschwinden wird - und fordern höhere Strafen und Sanktionen.

So können Sie sich schützen

Wie die meiste Android-Malware wird Ransomware normalerweise mit Anwendungen kombiniert, die auf den ersten Blick unauffällig und legal erscheinen. Doch die Android-Ransomware wird hauptsächlich über Drittanbieter-Marktplätze in Anwendungen verbreitet, die die volle Funktionalität ansonsten bezahlter Apps versprechen. Anwender sollten solche vermeintlichen "Schnäppchen" immer kritisch hinterfragen.

Zwielichtige Apps und Anzeigen, die vehement zur Installation einer bestimmten Anwendung auffordern, sollten unbedingt vermieden werden. Hier ist die Wahrscheinlichkeit hoch, dass es sich um Ransomware oder andere Arten von schädlicher Software handelt.

Eine der sichersten Methoden, um das eigene Android-Gerät vor Ransomware und anderen Bedrohungen zu schützen, besteht in der Verwendung einer mobilen Sicherheitslösung, mit der Apps - unabhängig davon, wo sie heruntergeladen wurden - automatisch auf möglichen Schadcode überprüft werden. So können Anwender Cyberkriminellen mit vergleichsweise einfachen Mitteln das Handwerk legen und sparen sich selbst eine Menge Ärger.