c't 14/2016
S. 52
News
Sicherheit

Erpressungs-Trojaner auf dem Fernseher

FLocker sperrt jetzt auch Smart-TVs. Bild: Trend Micro

Nach PC- und Smartphone-Nutzern suchen sich Kriminelle weitere Einnahmequellen: Sicherheitsforscher haben eine Variante des Android-Trojaners FLocker entdeckt, der Smart-TVs infiziert. Seit mindestens April 2015 versuchen Kriminelle, Android über manipulierte Webseiten mit FLocker zu infizieren. Ist der Trojaner einmal auf dem Gerät, sperrt er das Smartphone des Opfers angeblich im Namen diverser Polizeibehörden und verlangt ein Lösegeld. Nun haben die Kriminellen den Schadcode weiter ausgebaut, sodass er auch Smart-TVs infizieren kann.

Allerdings werden nur Geräte gesperrt, die sich außerhalb von Armenien, Aserbaidschan, Bulgarien, Georgien, Kasachstan, der Ukraine, Ungarn oder Russland befinden. Dort schaltet der Trojaner sich einfach ab. Hierzulande versucht er, eine App zu installieren, die Kontakt zum Kontroll-Server der Ganoven hält. Dafür braucht FLocker die Erlaubnis des Nutzers. Wird diese nicht erteilt, blockiert der Trojaner den Bildschirm und bietet an, das vermeintliche Problem mit einem Update zu lösen. Dieses Update ist natürlich keins und installiert ebenfalls die App, um das Gerät an die Kommando-Infrastruktur anzubinden.

Beim Befall eines Smart-TVs sollte der Hersteller helfen können. Alternativ kann ein Betroffener auch selbst aktiv werden, wenn er auf das infizierte Gerät per Android Debug Bridge (ADB) zugreifen kann. Dort ist der Prozess der Malware zu beenden, damit der Sperrbildschirm verschwindet. Danach lassen sich der bösartigen App die Admin-Rechte entziehen, um sie zu deinstallieren. (fab@ct.de)

Windows-95-Sicherheitslücke endlich gestopft

Am Juni-Patchday hat Microsoft 16 verschiedene Sicherheits-Updates veröffentlicht. Eine Lücke im Windows-Modul Web Proxy Auto Discovery (WPAD) erregte besondere Aufmerksamkeit: Die Lücke steckt seit Windows 95 im Netzwerk-Code des Betriebssystems. Sie kann dazu missbraucht werden, den Netzwerk-Verkehr des Opfers zu manipulieren.

Der chinesische Sicherheitsforscher Yang Yu, der die Lücke entdeckte, nennt sie „BadTunnel“ und will sie auf der Black-Hat-Konferenz in Las Vegas im August vorstellen. Bei Redaktionsschluss gab es deswegen nur wenige Details dazu, wie man die Lücke konkret ausnutzen kann. Laut Yu können Angreifer aus dem Internet über den Internet Explorer und WPAD die Web-Abfragen des Opfers über den eigenen Rechner umleiten. Das erlaubt das Ausspionieren und Manipulieren von unverschlüsselten Inhalten.

Microsoft hat die Lücke für Windows-Versionen ab Vista geschlossen, es sind allerdings auch ältere Windows-Versionen seit Windows 95 betroffen. Laut Microsoft kann man Angriffe unterbinden, indem man NetBIOS über TCP/IP deaktiviert oder dafür sorgt, dass solche Pakete nicht über die Router-Grenze gelangen. Das sollte, in Ermangelung von Sicherheits-Updates, auch bei älteren Windows-Versionen BadTunnel-Angriffe verhindern. Allerdings sollte man derart veraltete Windows-Versionen aufgrund von vielen anderen ungepatchten Sicherheitslücken ohnehin so schnell wie möglich in Rente schicken. (fab@ct.de)

Britische Firmen setzen auf Bitcoins statt Backups

Einer Umfrage unter britischen Unternehmen zufolge legen diese sich lieber Reserven der Kryptowährung Bitcoin an, als für regelmäßige Backups zu sorgen. Demnach hat von 250 befragten IT-Firmen ein Drittel Vorkehrungen getroffen, um im Falle einer Infektion durch Erpressungs-Trojaner Lösegelder zahlen zu können. Alle befragten Firmen hatten über 250 Mitarbeiter.

Fast die Hälfte der befragten Unternehmen gab an, ihre Daten nicht täglich zu sichern. Stattdessen gaben 35 Prozent der Befragten zu Protokoll, bis zu 50 000 Pfund (nach aktuellem Umrechnungskurs fast 63 000 Euro) für das Freikaufen ihrer Geschäftsdaten eingeplant zu haben.

Spricht sich das bei den kriminellen Drahtziehern hinter Erpressungstrojanern herum, wird der aktuelle Ansturm durch Ransomware kaum abreißen. Vor allem, da Kriminelle bereits gezielt Firmen angreifen und von diesen weitaus mehr Lösegeld verlangen als von Privatpersonen. Eine bessere Verteidigung gegen Ransomware sind freilich regelmäßige Backups. (fab@ct.de)

Kommentieren