KSN-Report: Mobile Ransomware in den Jahren 2014-2016

Entwicklung und Zukunft einer Bedrohung

Inhalt

Part 1. PC-Ransomware in den Jahren 2014-2016

Statistik

Die Aktivität mobiler Ransomware ist – auch wenn in den Medien nicht so ausführlich darüber berichtet wird wie über Ransomware für PCs – innerhalb des Berichtzeitraums ebenfalls in die Höhe geschnellt. Das betrifft besonders die zweite Hälfte.

KSN-Report: Mobile Ransomware in den Jahren 2014-2016

Zahl der Nutzer, die mindestens einmal in der Zeit von April 2014 bis März 2016 mit mobiler Ransomware konfrontiert wurden.

Von April 2014 bis März 2015 schützten die Sicherheitslösungen von Kaspersky Lab für Android 35.413 Nutzer vor mobiler Ransomware. Ein Jahr später war die Zahl fast um ein Vierfaches höher und betrug 136.532 Nutzer. Der Anteil der von Ransomware angegriffenen Anwender an allen Anwendern, die von irgendeiner Art von Malware angegriffen wurden, ist ebenfalls gestiegen: von 2,04% in den Jahren 2014 bis 2015 auf 4,63% in der Zeit von 2015 bis 2016. Die Wachstumskurve mag weniger steil sein als die von PC-Ransomware, doch sie ist deutlich genug, um einen beunruhigenden Trend zu konstatieren.

Die wichtigsten Akteure

Im Laufe des gesamten Berichtszeitraums konnten die Forscher von Kaspersky Lab immer wieder dieselben neuen Familien von mobiler Ransomware identifizieren, mit denen die Nutzer unserer Produkte am häufigsten konfrontiert wurden. In den Jahren von 2014 bis 2015 waren das: Pletor, Fusob, Svpeng und Small. Von 2015 bis 2016 schraubte Svpeng seine Aktivität deutlich zurück und betraf nur noch einen kleinen Teil der angegriffenen Nutzer.

Irgendwann in der Zeit von 2014 bis 2015 wurde Svpeng – ursprünglich als Bank-Malware bekannt – von seinen Schöpfern modifiziert und war von nun an in der Lage, ein infiziertes Gerät zu sperren. Seither verfolgen wir die Aktivität beider Versionen von Svpeng: die Bank-Variante und die Ransomware. Die Ransomware-Spielart nahm in der Zeit von 2014 bis 2015 deutlich an Popularität zu und auf ihr Konto gehen für 5,64% aller von Malware angegriffenen Nutzer.

Das änderte sich in der zweiten Hälfte des Untersuchungszeitraums, als die Ransomware an das untere Ende der Top 30 der Bedrohungen rutschte. Die Bank-Variante von Svpeng blieb allerdings weiter aktiv, was vermutlich bedeutet, dass die Autoren ganz einfach das Interesse an der Ransomware verloren haben und sich stattdessen mehr auf die Bank-Malware konzentrieren wollten.

So etwas in der Art ist auch mit Pletor passiert: Dieser Schädling gilt als das erste Beispiel für Ransomware und wurde vermutlich von den Autoren des berühmt-berüchtigten Bank-Trojaners Acecard entwickelt. In der Zeit von 2014 bis 2015 ging ein deutlicher Anteil der von Ransomware angegriffenen mobilen Anwender auf sein Konto, doch im Zeitraum von 2015 bis 2016 verabschiedete er sich aus der Spitze der Hitliste und überließ insgesamt nur drei anderen großen Ransomware-Familien den Markt.

KSN-Report: Mobile Ransomware in den Jahren 2014-2016

Verteilung des Anteils der angegriffenen Nutzer unter den aktivsten Familien mobiler Ransomware in der Zeit von 2014 bis 2015 (links) im Vergleich zu dem Zeitraum von 2015 bis 2016 (rechts).

Eine weitere Auffälligkeit im Laufe des 24monatigen Berichtszeitraums war die Konkurrenz zwischen zwei großen Ransomware-Familien, und zwar Small und Fusob. In der Zeit von 2014 bis 2015 war die Familie Small der Spitzenreiter, zumindest was den Anteil der angegriffenen Nutzer angeht. Auf ihr Konto gingen 69,11% aller Nutzer, die mindestens einmal von mobiler Ransomware attackiert wurden. Doch ein Jahr später übernahm die Fusob-Familie die Führungsrolle und erreichte dabei einen Anteil von 56,25% der von Erpressersoftware angegriffenen Nutzer. Die Small-Familie blieb allerdings die Nummer zwei, mit einem Anteil von 37,23% der attackierten User. Schadprogramme aus den Familien Svpeng, Pletor, Small und Fusob werden anscheinend von ihren Autoren an andere Cyberkriminelle verkauft oder über Affiliate-Netzwerke verbreitet – alle vier Familien wurden einer Menge Modifikationen unterzogen. Small und Fusob sind allerdings am häufigsten modifiziert worden, das geht ganz klar aus der Statistik hervor.

Anders als Ransomware für PCs, die bereits von Forschern aus unterschiedlichen Unternehmen, Kaspersky Lab eingeschlossen, ausgiebig untersucht worden ist, wurde mobile Ransomware bisher noch nicht in der Tiefe erforscht. Um diesen Zustand zu ändern, bieten wir eine kurze Beschreibung der am weitesten verbreiteten und gefährlichsten mobilen Ransomware-Samples, Stand April 2016.

Wenn Sie mehr über die Evolution von Ransomware erfahren wollen, lesen Sie hier den vollständigen Bericht.

Related Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.