Die aktuelle Covid19-Pandemie schafft ideale Voraussetzungen für Schadsoftware. Viele Menschen sind verunsichert oder haben Angst – und daraus schlagen Kriminelle gnadenlos Kapital. Auch Smartphones sind ein lohnendes Ziel.
Kriminelle Trittbrettfahrer nutzen oft Krisensituationen aus, um entweder Daten oder Geld zu stehlen. In einem aktuellen Fall verschlüsselt eine Ransomware die Dateien auf einem Smartphone. Das Perfide: Die Android-App, hinter der sich die Ransomware versteckt, ist als „Coronavirus-Tracker“ getarnt, der angeblich Infektionszahlen in Echtzeit anzeigt. Wenig später bekommt der Nutzer eine Meldung angezeigt, die 100 US-Dollar als Lösegeld in Bitcoin verlangt. Zum Glück für Betroffene existiert ein Entschlüsselungscode, der die Daten auch wieder zugänglich macht. Der Code für diese spezielle Ransomware lautet 4865083501.
In einer ungewöhnlichen Situation, wie der aktuellen Corona-Krise, ist es leichter als sonst, Interesse für eine bösartige App, einen infizierten Mailanhang oder eine manipulierte Internetseite zu wecken. Das gilt um so mehr, wenn Angst im Spiel ist. Furcht und Verunsicherung verleiten Menschen dazu, Dinge zu tun, die nicht im besten Sinne sind. Man handelt nicht überlegt und rationell, sondern impulsiv und unüberlegt.
Speziell mit Bezug auf die aktuelle Pandemie suchen viele Menschen verstärkt nach Informationen. Wer dann mit vermeintlich „brandaktuellen“ und „exklusiven“ Informationen auf den Plan tritt, der findet die idealen Voraussetzungen für eine Malware-Infektion.
Gleich von Anfang an werden bereits zwei Hürden für die Verteilung von Schadsoftware umgangen. Anders als die meisten legitimen Android-Apps, lässt sich diese App zum einen nicht über Google Play Store herunterladen, sondern nur über eine bestimmte Webseite, die aktiv Werbung für die App macht. Dort versprechen die Macher unter Anderem, Infektionen "in Echtzeit" verfolgen zu können. Es soll sogar möglich sein, eine Warnung anzueigen, wenn eine infizierte Person sich in der näheren Umgebung aufhält. Auf dem offiziellen Play Store von Google werden schädliche Apps sehr schnell entdeckt und gelöscht. Außerdem muss der Nutzer, bevor er die App installieren kann, zunächst die App-Installation aus nicht vertrauenswürdigen Quellen explizit in den Sicherheitseinstellungen aktivieren.
Direkt nach dem Start der heruntergeladenen Anwendung fragt der angebliche Coronavirus-Tracker einige Berechtigungen ab. Ein Nutzer, der aus Angst oder Verunsicherung die App installiert hat, wird hier zustimmen. Zuerst erfolgt die Zugriffsabfrage für den Sperrbildschirm und die Barrierefreiheit-Funktionen von Android. Mit dieser lassen sich einige Sicherheitsmaßnahmen umgehen. Beides sind Komponenten, die es der Ransomware später erlauben, den Bildschirm zu sperren und die Erpressernachricht anzuzeigen. Als nächstes wird der User gefragt, ob die Anwendung im Hintergrund aktiv sein darf, auch wenn die Stromspar-Einstellungen den Hintergrundbetrieb von Apps unterbinden. Mit anderen Worten: Mit all diesen Abfragen sichert sich die App Geräte-Administratorrechte. Damit hat die Applikation freie Bahn für sämtliche schädliche Aktivitäten und jede einzelne Abfrage lässt sich sogar mit dem angeblichen Zweck des Trackers vereinbaren.
Die vorliegende Ransomware ist sehr einfach aufgebaut und nicht besonders ausgefeilt. Sie besitzt eine symmetrische Verschlüsselung, bei der ein einziges Kennwort für alle Verschlüsselungen eingesetzt wird. Das kann sich jedoch in künftigen Versionen sehr schnell ändern.
Aktuell haben Falschmeldungen und damit gekoppelte Schadsoftware ein besonders leichtes Spiel. Wer auf ein Klima der Unsicherheit setzt und in überzeugender Weise verlässliche und glaubhafte Informationen verspricht, hat gute Karten. Die Tatsache, dass gut gemachte Fake News oftmals einen kleinen Funken Wahrheit enthalten, macht das Erkennen einer Falschmeldung noch schwieriger. Wenn Kriminelle Halbwahrheiten gekonnt mit falschen Informationen koppeln, die sich vermeintlich „einfach richtig anhören“, fallen Menschen scharenweise darauf herein.