Neue Entdeckung! Zwei Android-Apps enthalten Erpresserbrief von Cerber

Schadsoftwareforscher haben im Quellcode von zwei Android-Apps soeben den Erpresserbrief von Cerber gefunden. Es handelt sich hierbei, um die Apps Accechiamoli und ForzaFò. Die berüchtigte Datei README.hta kann demzufolge direkt aus dem Google Play Store heruntergeladen werden. Diese Entdeckung ist beunruhigend und furchterregend zugleich und lässt darauf schließen, dass die Entwickler der katastrophalen Schadsoftware ihren Zielbereich ausweiten möchten. Wir möchten jedoch deutlich machen, dass es noch keine definitiven Hinweise darauf gibt. Die Entwickler von Cerber haben noch keine schädlichen Aktionen auf Android-Geräte in Bewegung gebracht. Der Virus betrifft also immer noch nur Windows-Nutzer. Die Fans des italienischen Fußballvereins Foggia Calcio brauchen sich also keine Sorgen darum machen, dass ihr Gerät möglicherweise mit einem Erpressungsprogramm infiziert wird.

Das Sicherheitsteam ESET hat die zwei Apps nach den Nutzdaten von Cerber untersucht und hierbei nichts Verdächtiges oder potenziell Gefährliches entdeckt. Die Untersuchung hat lediglich ergeben, dass die einzigen Spuren von Cerber der Erpresserbrief in der Datei README.hta ist. Laut dem ESET-Sicherheitsexperten für mobile Geräte Lukas Stefanko ist ein wahrscheinlicher Grund für das Landen der Datei in der App, dass der App-Entwickler Francesco Pio Recchia dem Virus Cerber zum Opfer gefallen ist. Bei einem Angriff speichert der Virus nämlich in jedem Ordner mit verschlüsselten Dateien seinen Erpresserbrief. Wenn der Entwickler den Erpresserbrief im betroffenen Icon-Ordner der App nicht gelöscht hat, bevor er sie zur Freigabe im Google Play Store abgegeben hat, wird sie Teil des Projektes. Eine weitere Vermutung ist, dass der Icon-Designer von den Apps Accechiamoli und ForzaFò dem Virus zum Opfer gefallen ist und hier der Erpresserbrief versehentlich nicht gelöscht wurde. Die Entwickler haben in diesem Fall den Ordner nicht kontrolliert und lediglich kopiert, wodurch der Erpresserbrief unbemerkt mitverarbeitet wurde. Allerdings sind dies lediglich Vermutungen und die Wahrheit ist noch nicht bekannt, da es noch keine Aussagen seitens der Entwickler gibt.

Ungeachtet dessen, dass es hier nicht der Fall ist, könnten HTA-Dateien tatsächlich für die Verbreitung von dateiverschlüsselnden Viren verwendet werden. Die README.hta-Datei ist jedoch nicht schädlich und enthält keinen angreifenden Code. Sicherheitsprogramme erkennen die Datei zwar als schädlich, aber sie kann in Wahrheit nichts machen und enthält lediglich Informationen darüber, was die Hacker von den Opfern möchten. Im Erpresserbrief erfährt man über die Datenverschlüsselung und die Lösegeldforderung. Opfer werden dazu angehalten Bitcoins mit einer speziellen Bezahlseite von Cerber zu überweisen, welche man nur mit dem Browser Tor erreichen kann. Wir möchten hier jedoch direkt daran erinnern, dass die Forderungen von Cyberkriminellen nicht beachtet werden sollten.. Die Bezahlung des Lösegelds garantiert nicht, dass man wieder Zugriff auf die Daten bekommt.

Über den Autor
Gabriel E. Hall
Gabriel E. Hall - Leidenschaftliche Internetforscherin

Gabriel E. Hall ist eine leidenschaftliche Schadsoftware-Forscherin, die seit fast einem Jahrzehnt bei DieViren tätig ist.

Gabriel E. Hall kontaktieren
Über die Firma Esolutions

In anderen Sprachen