{"id":8047,"date":"2016-06-29T12:07:23","date_gmt":"2016-06-29T12:07:23","guid":{"rendered":"https:\/\/kasperskydaily.com\/germany\/?p=8047"},"modified":"2020-06-30T17:17:57","modified_gmt":"2020-06-30T15:17:57","slug":"mobile-ransomware-2016","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/mobile-ransomware-2016\/8047\/","title":{"rendered":"Ransomware auf mobilen Ger\u00e4ten"},"content":{"rendered":"

Letzte Woche haben wir \u00fcber Desktop-Ransomware<\/a> gesprochen, was ein recht unangenehmes Thema ist. Ransomware wurde nicht nur auf Desktop-PCs, sondern auch auf mobilen Ger\u00e4ten gefunden \u2013 und dieser Fall tritt immer h\u00e4ufiger auf.<\/p>\n

Heute werden wir \u00fcber die weit verbreitetsten Arten von mobiler Ransomware sprechen. Wir erhielten die Statistiken in diesem Post von unseren Sicherheitsl\u00f6sungen.<\/p>\n

https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2016\/06\/30171746\/ransomware-template-2-featured.jpg<\/p>\n

Was ist mobile Ransomware?<\/strong><\/p>\n

Viele wissen bereits, was Ransomware ist \u2013 und das Bewusstsein nimmt zu. Die weit verbreitetste \u2013 und st\u00f6rendste \u2013 Art von Desktop-Ransomware ist der Cryptolocker<\/em>; Malware, die Ihre Daten verschl\u00fcsselt und Ihnen eine Wiederherstellung anbietet, wenn Sie ein L\u00f6segeld zahlen. Eine andere Art von Ransomware, der Blocker<\/em>, blockiert entweder Browser oder Betriebssysteme und fordert ein L\u00f6segeld, um im Gegenzug erneuten Zugriff zu gew\u00e4hren. Heutzutage sind Desktopblocker weniger verbreitet als Crypto-Ransomware, meist, weil Letztere effizienter ist, damit das Geld in die H\u00e4nde von Kriminellen gelangt.<\/p>\n

Die Bedrohungslandschaft f\u00fcr mobile Ger\u00e4te ist jedoch genau das Gegenteil. Es existieren fast keine Cryptolocker f\u00fcr Android-Ger\u00e4te, weil die Betriebssysteme und Anwendungen Cloud-Backups erstellen. Wenn User ihre Dateien gesichert haben, gibt es keinen Grund, ein L\u00f6segeld zu zahlen, und deshalb haben Entwickler wenig Antrieb, Android-Nutzer anzugreifen.<\/p>\n

Blocker sind die bekannteste Methode, Android-Ger\u00e4te zu infizieren. Auf Mobiltelefonen gehen sie so vor, dass die einfach die Schnittstelle jeder App mit ihrer eigenen \u00fcberdecken, so dass das Opfer keine einzige Anwendung mehr verwenden kann. PC-Besitzer k\u00f6nnen einen Blocker relativ leicht loswerden \u2013 alles was sie tun m\u00fcssen, ist, die Festplatte zu entfernen, sie auf einem anderen Computer anzuschlie\u00dfen und die Blocker-Dateien zu beseitigen. Aber Sie k\u00f6nnen nicht einfach den Hauptspeicher von Ihrem Telefon entfernen \u2013 er ist an die Hauptplatine gel\u00f6tet. Darum nehmen Blocker 99% des Mobile-Ransomware-\u201eMarktes\u201c ein.<\/p>\n

Kleine Big Players<\/strong><\/p>\n

Zwischen 2014\u20132015 gab es vier Hauptakteure, die die mobile Ransomware-Szene dominierten: Svpeng, Pletor<\/a>, Small und Fusob<\/a>. Zu dieser Zeit hatte Pletor sein Wachstum fast gestoppt; seine Entwickler lancierten den ber\u00fcchtigten Acecard-Trojaner und machten den Anschein, ihre Ressourcen stattdessen zur Entwicklung und Verbreitung zu verwenden. Die Entwickler von Svpeng haben sich auch erneut auf die Bankingversion des Trojaners fokussiert. Somit verbleiben nur zwei gro\u00dfe mobile Ransomware-Familien, Small und Fusob. Dadurch repr\u00e4sentierten diese zwei Trojaner zwischen 2015\u20132016 mehr als 93% der mobilen Ransomware.<\/p>\n

https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2016\/06\/30171750\/mob-ransomware-chart.png<\/p>\n

Es ist erw\u00e4hnenswert, dass die Fusob- und Small-Trojaner-Familien viel gemeinsam haben. Beide zeigen falsche Bildschirmmeldungen an, die vorgeben, von einer Beh\u00f6rde signiert zu sein und beschuldigen das Opfer eines Vergehens. Beide behaupten, dass ein Strafverfahren er\u00f6ffnet wird, es sei denn, der Nutzer zahle die Geldstrafe.<\/p>\n

Fusob und Small baten recht merkw\u00fcrdige Zahlungswege f\u00fcr das L\u00f6segeld an. Fusob empfahl die Zahlung mit iTunes-Geschenkkarten, wohingegen Small den Opfern die Option anbot, mit dem Kiwi-Zahlungssystem oder mit MoneyPak-xpress-Gutscheinen zu zahlen. Beide wurden wahrscheinlich von einer russischsprachen Cyberbande erstellt, aber mit sehr unterschiedlichen Ans\u00e4tzen.<\/p>\n

Fusob erkennt zuerst die Sprache des Ger\u00e4ts, und wenn sie eine der Sprachen der ehemaligen sowjetischen Republik ist, unternimmt Fusob nichts. Andernfalls wird ein Bildschirm angezeigt, der angeblich von der NSA ist und ein L\u00f6segeld \u2013 zwischen 90 und 180 EUR \u2013 verlangt. Die Mehrheit der Opfer von Fusob (mehr als 41%) lebt in Deutschland \u2013 Gro\u00dfbritannien und die USA liegen mit 14,5% und 11,4% auf dem zweiten und dritten Platz.<\/p>\n

https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2016\/06\/30171753\/small-fusob.jpg<\/p>\n

Dann haben wir noch die Small-Familie. Fast 99% der Opfer von Small kommen aus drei L\u00e4ndern, die Fusob vermeidet: aus Russland, Kasachstan und der Ukraine. Small-Ransomware zeigt eine vermeintlich von der Regierung stammende Bildschirmmeldung mit Zahlungsanweisungen, Drohungen und einer Forderung von 700\u20133,500 Rubeln (10 bis 50 EUR) an, um das infizierte Ger\u00e4t zu entsperren. Es gibt auch eine Version von Small f\u00fcr den englischsprachigen Raum \u2013 mit einem anderen Blockierungsbildschirm, der das FBI erw\u00e4hnt und \u00fcber 270 EUR fordert.<\/p>\n

Es gibt zwei weitere Versionen von Small. Eine ist ein Cryptolocker, der dieselben Operationen durchf\u00fchrt, wie die erste Version, und dar\u00fcber hinaus die Dateien auf der SD-Karte des Ger\u00e4ts verschl\u00fcsselt. Die zweite ist ein multifunktionaler Trojaner, der dazu f\u00e4hig ist, Geld zu stehlen, Daten abzuziehen und nat\u00fcrlich das Ger\u00e4t zu sperren.<\/p>\n

Was passiert und was erwartet werden muss<\/strong><\/p>\n

Als die mobile Malware noch keine gro\u00dfe Sache war, begannen wir, Alarm zu schlagen. Wie wir voraussagten, hat diese Art von Malware eine explosionsartige Wachstumsrate \u2013 und sie zeigt keinerlei Anzeichen einer Abschw\u00e4chung. Zwischen 2014 und der Gegenwart haben sich Angriffe auf Mobiltelefone fast vervierfacht!<\/p>\n

Die Zahl der Ransomware-Opfer unter ihnen steigt auch an \u2013 sie hat sich mehr als verdoppelt, von 2,04 % zu 4,63 %. Letztes Jahr stellten die USA das Hauptziel f\u00fcr mobile Ransomware dar \u2013 einer von zehn Nutzern, der auf Malware stie\u00df, fand diese in Form einer mobilen Ransomware. Nun sind es zwei von zehn in Deutschland und Kanada, einer von sieben in Gro\u00dfbritannien, den USA und Kasachstan, und mehr als einer von zehn in Italien und den Niederlanden.<\/p>\n

\n

Well-maintained backup solution is an impt part of your protection from Cryptolocker ransomware both on PC & Android. http:\/\/t.co\/ZifMqg4EsI<\/a><\/p>\n

\u2014 Kaspersky (@kaspersky) June 11, 2014<\/a><\/p><\/blockquote>\n