Adult Player: Android-Anwender werden von Ransomware mit Selfie erpresst

Rainer Schneider,
ransomware (Bild: Carlos Amarillo/Shutterstock)

Die Erpressersoftware gehört zu einer bereits länger bekannten Malware-Familie. Der Sicherheitsanbieter Zscaler hat jetzt aber eine Variante identifiziert, die ihrer erpresserischen Forderung nach 500 Dollar für die Entschlüsselung eines gesperrten Geräts mit einem Bild des Anwenders Nachdruck verleiht.

Forscher des Sicherheitsanbieters Zscaler haben vor einer neuen Variante einer prinzipiell schon länger bekannten Ransomware namens “Adult Player” gewarnt. Die aktuelle Version lockt ihre Opfer genau wie ihre Vorgänger zunächst mit vermeintlich pornographischem Material, das sich damit wiedergeben lassen soll. Während ihrer Installation macht sie sich jedoch die Tatsache zunutze, dass immer mehr Smartphones immer bessere Frontkameras zur Aufnahme von Selbstporträts besitzen.

zscaler-mp4tube-app-icon (Screenshot: ZScaler)
Die als pornografische App “Adult Player” getarnte Erpressersoftware verleiht ihrer Lösegeldforderung mit einem Bild des Nutzers Nachdruck (Screenshot: ZScaler).

Im Rahmen des Installationsprozesses nimmt die Erpressersoftware nämlich ein Bild des Anwenders auf und integriert es dann später in die dynamisch erstellte Seite mit der Lösegeldforderung. Für die Entschlüsselung ihres gesperrten Smartphones sollen Besitzer 500 Dollar via Paypal entrichten. Doch auch wenn sie dieser Forderung nachkommen, wird das Gerät nicht freigeschaltet.

Auch in anderer Hinsicht geht die als Porno-App “Adult Player” getarnte Erpressersoftware clever vor. Beim ersten Öffnen gelangt sie dadurch zu Admin-Rechten, dass sie vortäuscht, sie könne wegen fehlender, aber harmloser Berechtigungen nicht ausgeführt werden. Gesteht der Anwender ihr Letztere mit Tippen auf “Activate” zu, wird zwar eine Update-Seite dargestellt, allerdings nicht wirklich eine Aktualisierung geladen. Stattdessen holt sie sich lokal ein test.apk genanntes Installationspaket. Warum sie das tut, konnten die Zscaler-Experten noch nicht herausfinden. Sie vermuten aber, dass damit womöglich statische Sicherheitssoftware überlistet wird.

zscaler-mp4tube-money-demand (Screenshot: Zscaler)
Wie so häufig bei Ransomware wird auch bei “Adult Player” die Sperre nach Zahlung des erpressten Betrags nicht aufgehoben (Screenshot: Zscaler).

Sofern eine Frontkamera vorhanden ist, nutzt die Malware diese, um während des Installationsvorgangs damit den Nutzer aufzunehmen und dessen Foto dann in die von vier im Code festgelegten Servern mit URLs erstellten und zurückgelieferten Lösegeldforderung einzubauen. Die URLs werben mit den Namensbestandteilen directavsecurity, avsecurityorbit, protectforavno und trustedsecurityav dabei um das Vertrauen des Nutzers, was bei einigen Betroffenen wiederum für erhebliche, zusätzliche Verunsicherung sorgen dürfte. Doch selbst wenn die Opfer die geforderten 500 Dollar bezahlen, gibt die Software das Smartphone Zscaler zufolge nicht frei. Das Unternehmen empfiehlt deshalb, ebenso wie andere Sicherheitsfirmen bei früheren Hinweisen auf Ransomware, keine Zahlungen zu entrichten.

Um sich der Malware zu entledigen, rät Zscaler dazu, das Smartphone im Safe Mode hochzufahren – was je nach Gerät unterschiedlich durchzuführen ist. Anschließend müssen die der App eingeräumten Administratorrechte entzogen werden. Dies ist über -> Einstellungen -> Sicherheit -> Geräteadministrator möglich. Dort wird dann die App ausgewählt und deaktiviert. Erst danach kann sie in den Einstellungen bei Apps entfernt werden. Zscaler warnt, dass Malware-Apps mit gleichem Vorgehen aber anderem Namen ebenfalls schon gesichtet wurden und empfiehlt wie üblich, Anwendungen nur von vertrauenswürdigen Quellen zu installieren.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de