Die Sicherheitsforscher von McAfee haben eine Ransomware entdeckt, die die Daten des Opfers nicht verschlüsselt und auch nicht löscht. Im Gegenteil: Sie droht damit die Daten zu vervielfältigen. Der Browserverlauf, Fotos, E-Mails und Facebook-Nachrichten sollen an alle im Smartphone gespeicherten Kontakte geschickt werden, falls das Lösegeld von 50 US-Dollar nicht bezahlt wird.
Zwei App-Varianten bei Google
Die Ransomware ist in zwei Apps im Google Play Store enthalten: Booster Cleaner Pro und Wallpapers Blur HD. Die erste wurde laut dem Play Store 1.000 bis 5.000 mal heruntergeladen, die zweite 5.000 bis 10.000 mal.
Werden die Apps installiert, fragen sie nach einer Vielzahl an Berechtigungen. Danach wird LeakerLocker aktiv. Die Ransomware sperrt den Homescreen. Es wird die Information angezeigt, laut der alle persönlichen Daten vom Smartphone zu einem Cloud Server der Cyberkriminellen übertragen wurden. Diese sollen Fotos, Telefonnummern, SMS, E-Mails, den Browserverlauf und Facebook-Nachrichten enthalten. Zahlt man nicht innerhalb von 72 Stunden, werden diese Daten mit allen Kontakten und E-Mail-Adressen geteilt, die am Smartphone gespeichert sind.
Nicht sehr potente Ransomware
LeakerLocker ist allerdings keine so potente Malware, wie sie vorgibt zu sein. Laut McAfee kann sie lediglich die E-Mail-Adresse des Opfers, zufällige Kontakte, den Browserverlauf, einige SMS und ein Foto von der Kamera auslesen. Diese werden angezeigt um den User vorzugaukeln, dass alle seine Daten kopiert wurden.
Zu diesem Zeitpunkt wurden aber noch gar keine Daten übertragen. Allerdings ist dies möglich, falls die Ransomware den entsprechenden Befehl dazu vom Kontrollserver bekommt. Das Lösegeld in der Form von 50 US-Dollar soll direkt durch die Eingabe der Kreditkartendaten bezahlt werden.
McAfee rät von jeglicher Zahlung ab
McAfee empfiehlt nicht zu zahlen, da es keine Garantie gibt, dass die Daten nicht doch noch übertragen und zu einem späteren Zeitpunkt für weitere Erpressungsversuche genutzt werden. Zudem ist es relativ unklug, Cyberkriminellen auch noch die Kreditkartennummer zu überlassen.
Google wurde über die Ransomware informiert. Die zwei infizierten Apps wurden aus dem Play Store entfernt.