Digital Life
11.07.2017

Ransomware droht Browserverlauf an alle Kontakte zu senden

LeakerLocker sperrt User aus dem Smartphone aus und verlangt 50 US-Dollar, damit Fotos und Nachrichten nicht veröffentlicht werden.

Die Sicherheitsforscher von McAfee haben eine Ransomware entdeckt, die die Daten des Opfers nicht verschlüsselt und auch nicht löscht. Im Gegenteil: Sie droht damit die Daten zu vervielfältigen. Der Browserverlauf, Fotos, E-Mails und Facebook-Nachrichten sollen an alle im Smartphone gespeicherten Kontakte geschickt werden, falls das Lösegeld von 50 US-Dollar nicht bezahlt wird.

Die Ransomware ist in zwei Apps im Google Play Store enthalten: Booster & Cleaner Pro und Wallpapers Blur HD. Die erste wurde laut dem Play Store 1.000 bis 5.000 mal heruntergeladen, die zweite 5.000 bis 10.000 mal.

Werden die Apps installiert, fragen sie nach einer Vielzahl an Berechtigungen. Danach wird LeakerLocker aktiv. Die Ransomware sperrt den Homescreen. Es wird die Information angezeigt, laut der alle persönlichen Daten vom Smartphone zu einem Cloud Server der Cyberkriminellen übertragen wurden. Diese sollen Fotos, Telefonnummern, SMS, E-Mails, den Browserverlauf und Facebook-Nachrichten enthalten. Zahlt man nicht innerhalb von 72 Stunden, werden diese Daten mit allen Kontakten und E-Mail-Adressen geteilt, die am Smartphone gespeichert sind.

Täuschung

LeakerLocker ist allerdings keine so potente Malware, wie sie vorgibt zu sein. Laut McAfee kann sie lediglich die E-Mail-Adresse des Opfers, zufällige Kontakte, den Browserverlauf, einige SMS und ein Foto von der Kamera auslesen. Diese werden angezeigt um den User vorzugaukeln, dass alle seine Daten kopiert wurden.

Zu diesem Zeitpunkt wurden aber noch gar keine Daten übertragen. Allerdings ist dies möglich, falls die Ransomware den entsprechenden Befehl dazu vom Kontrollserver bekommt. Das Lösegeld in der Form von 50 US-Dollar soll direkt durch die Eingabe der Kreditkartendaten bezahlt werden.

McAfee empfiehlt nicht zu zahlen, da es keine Garantie gibt, dass die Daten nicht doch noch übertragen und zu einem späteren Zeitpunkt für weitere Erpressungsversuche genutzt werden. Zudem ist es relativ unklug, Cyberkriminellen auch noch die Kreditkartennummer zu überlassen.

Google wurde über die Ransomware informiert. Die zwei infizierten Apps wurden aus dem Play Store entfernt.