Corona-Panik: Ransomware tarnt sich als Tracking-App für Infektionen

20.03.2020
G DATA Blog

Die aktuelle Covid19-Pandemie schafft ideale Voraussetzungen für Schadsoftware. Viele Menschen sind verunsichert oder haben Angst – und daraus schlagen Kriminelle gnadenlos Kapital. Auch Smartphones sind ein lohnendes Ziel.

Kriminelle Trittbrettfahrer nutzen oft Krisensituationen aus, um entweder Daten oder Geld zu stehlen. In einem aktuellen Fall verschlüsselt eine Ransomware die Dateien auf einem Smartphone. Das Perfide: Die Android-App, hinter der sich die Ransomware versteckt, ist als „Coronavirus-Tracker“ getarnt, der angeblich Infektionszahlen in Echtzeit anzeigt. Wenig später bekommt der Nutzer eine Meldung angezeigt, die 100 US-Dollar als Lösegeld in Bitcoin verlangt. Zum Glück für Betroffene existiert ein Entschlüsselungscode, der die Daten auch wieder zugänglich macht. Der Code für diese spezielle Ransomware lautet 4865083501.

Warum Kriminelle gerade jetzt Hochkonjunktur haben

In einer ungewöhnlichen Situation, wie der aktuellen Corona-Krise, ist es leichter als sonst, Interesse für eine bösartige App, einen infizierten Mailanhang oder eine manipulierte Internetseite zu wecken. Das gilt um so mehr, wenn Angst im Spiel ist. Furcht und Verunsicherung verleiten Menschen dazu, Dinge zu tun, die nicht im besten Sinne sind. Man handelt nicht überlegt und rationell, sondern impulsiv und unüberlegt.
Speziell mit Bezug auf die aktuelle Pandemie suchen viele Menschen verstärkt nach Informationen. Wer dann mit vermeintlich „brandaktuellen“ und „exklusiven“ Informationen auf den Plan tritt, der findet die idealen Voraussetzungen für eine Malware-Infektion.

Wie geht die „Corona“-Smartphone-Ransomware vor?

Angeblich zeigt die App auch Infizierte an, die sich in der Nähe befinden.
Angeblich zeigt die App auch Infizierte an, die sich in der Nähe befinden.

Gleich von Anfang an werden bereits zwei Hürden für die Verteilung von Schadsoftware umgangen. Anders als die meisten legitimen Android-Apps, lässt sich diese App zum einen nicht über Google Play Store herunterladen, sondern nur über eine bestimmte Webseite, die aktiv Werbung für die App macht. Dort versprechen die Macher unter Anderem, Infektionen "in Echtzeit" verfolgen zu können. Es soll sogar möglich sein, eine Warnung anzueigen, wenn eine infizierte Person sich in der näheren Umgebung aufhält. Auf dem offiziellen Play Store von Google werden schädliche Apps sehr schnell entdeckt und gelöscht. Außerdem muss der Nutzer, bevor er die App installieren kann, zunächst die App-Installation aus nicht vertrauenswürdigen Quellen explizit in den Sicherheitseinstellungen aktivieren.

Das Deaktivieren der Energiespar-Einstellungen sorgt dafür, dass die Ransomware ungestört im Hintergrund Daten verschlüsseln kann (Anklicken für größere Ansicht).
Das Deaktivieren der Energiespar-Einstellungen sorgt dafür, dass die Ransomware ungestört im Hintergrund Daten verschlüsseln kann (Anklicken für größere Ansicht).
Die Geräteadministrator-Funktion räumt einer App weitgehende Rechte auf dem Gerät ein - zum Beispiel, das Gerät auch zu sperren (Anklicken für größere Ansicht).
Die Geräteadministrator-Funktion räumt einer App weitgehende Rechte auf dem Gerät ein - zum Beispiel, das Gerät auch zu sperren (Anklicken für größere Ansicht).

Direkt nach dem Start der heruntergeladenen Anwendung fragt der angebliche Coronavirus-Tracker einige Berechtigungen ab. Ein Nutzer, der aus Angst oder Verunsicherung die App installiert hat, wird hier zustimmen. Zuerst erfolgt die Zugriffsabfrage für den Sperrbildschirm und die Barrierefreiheit-Funktionen von Android. Mit dieser lassen sich einige Sicherheitsmaßnahmen umgehen. Beides sind Komponenten, die es der Ransomware später erlauben, den Bildschirm zu sperren und die Erpressernachricht anzuzeigen. Als nächstes wird der User gefragt, ob die Anwendung im Hintergrund aktiv sein darf, auch wenn die Stromspar-Einstellungen den Hintergrundbetrieb von Apps unterbinden. Mit anderen Worten: Mit all diesen Abfragen sichert sich die App Geräte-Administratorrechte. Damit hat die Applikation freie Bahn für sämtliche schädliche Aktivitäten und jede einzelne Abfrage lässt sich sogar mit dem angeblichen Zweck des Trackers vereinbaren.

Die vorliegende Ransomware ist sehr einfach aufgebaut und nicht besonders ausgefeilt. Sie besitzt eine symmetrische Verschlüsselung, bei der ein einziges Kennwort für alle Verschlüsselungen eingesetzt wird. Das kann sich jedoch in künftigen Versionen sehr schnell ändern.

Malware und Fake News haben aktuell leichtes Spiel

Aktuell haben Falschmeldungen und damit gekoppelte Schadsoftware ein besonders leichtes Spiel. Wer auf ein Klima der Unsicherheit setzt und in überzeugender Weise verlässliche und glaubhafte Informationen verspricht, hat gute Karten. Die Tatsache, dass gut gemachte Fake News oftmals einen kleinen Funken Wahrheit enthalten, macht das Erkennen einer Falschmeldung noch schwieriger. Wenn Kriminelle Halbwahrheiten gekonnt mit falschen Informationen koppeln, die sich vermeintlich „einfach richtig anhören“, fallen Menschen scharenweise darauf herein.

Vier Ratschläge, die in Zeiten von Corona jeder Einzelne berücksichtigen sollte

  • Beziehen Sie Informationen zur Pandemie und auch Apps, die Sie installieren möchten, nur aus offiziellen Quellen.
  • Hörensagen, weitergeleitete WhatsApp-Nachrichten und der sprichwörtliche „Kollege eines Freundes vom Schwager, der von einem Bekannten gehört hat, dass…“  sind keine zuverlässige Informationsquellen. (Eine Parodie auf dieses Muster findet sich auf YouTube). Eine gute Quelle bei der Corona-Pandemie ist beispielsweise das unabhängige Robert Koch-Institut odr auch die Bundeszentrale für gesundheitliche Aufklärung.
  • Lassen Sie sich nicht per Mail oder Sofortnachricht zu „sofortigen“ Handlungen bewegen. Egal, ob es das Installieren einer App ist – oder das maßlose und unnötige Horten von Nudeln oder Klopapier.
  • Installieren Sie eine Security App auf ihrem Mobilgerät und halten Sie diese  immer auf dem aktuellen Stand. Mehr Tipps zur Absicherung von Smartphones gibt es in unserem Ratgeber-Artikel "Sicher unterwegs".