Fortinet waarschuwt voor ransomware op mobiele apparaten

Fortinet geeft vandaag een waarschuwing af en adviseert gebruikers van mobiele apparaten waakzaam te zijn voor mobiele ransomware, dat de afgelopen maanden flink in opkomst is. 

Ransom betekent ‘losgeld’ en ransomware is een vorm van malware die cybercriminelen op apparaten weten te installeren. Nadat het apparaat hiermee besmet is, kunnen gebruikers er nagenoeg niets meer mee doen. De cybercriminelen eisen betaling van gebruikers om de controle over hun apparaat terug te krijgen. Tot voor kort kwam ransomware hoofdzakelijk voor op desktop- en laptopcomputers, maar de laatste tijd richten de cybercriminelen zich steeds vaker op smartphones en tablets.

FortiGuard Labs, het onderzoeksinstituut van Fortinet, ontdekte recent de volgende vier varianten van mobiele ransomware:

Simplocker, ontdekt in juni 2014, gebruikt de aanpak van het Trojaanse paard. Het verstopt zich in normaal ogende applicaties zoals een Flash player. Het is de eerste ‘echte’ ransomware voor Android, omdat het bestanden op een smartphone versleutelt (bestanden met de formaten jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp en mp4). De malware zet de besmette smartphone op slot en laat alleen nog een bericht zien dat de gebruiker vertelt dat de telefoon tegen betaling wordt ontsloten. Zelfs na het verwijderen van de besmette applicatie in veilige modus moet men de getroffen bestanden decoderen om ze kunnen lezen.

Cryptolocker for mobile, ontdekt in mei 2014, vermomt zich als een nepversie van de BaDoink-applicatie voor het downloaden van video’s. De malware beschadigt de gegevens op het apparaat niet. Het toont alleen een boodschap die afkomstig lijkt te zijn van de locale politie, op basis van de geolocatie van het apparaat. De boodschap ververst om de vijf seconden zodat normaal gebruik onmogelijk is zonder de malware te verwijderen.

iCloud ‘Oleg Pliss’, ontdekt in mei 2014, heeft de twijfelachtige eer de eerste ‘echte’ ransomware voor iOS-apparaten te zijn. Het gaat hier niet om een enkele installatie van malware. Deze ransomware komt voort uit besmette iCloud-accounts in combinatie met een vorm van social engineering. Het vermoeden is dat de cybercriminelen misbruik maakten van Apple’s Find My iPhone, iPad en Mac-functie, samen met het gebruik van gestolen wachtwoorden. Maar de aanval werkt niet als het apparaat al een passcode heeft waarmee gebruikers het zelf op slot kunnen zetten. De malware kan gegevens uit de kalender en contacten halen en de aanvaller kan alle informatie van de telefoon verwijderen.

FakeDefend, ontdekt in juli 2013, richt zich op Android-apparaten. Het vermomt zich als een nep antivirus (AV)-applicatie. Deze voert zogenaamd een scan uit en laat een lijst van virussen zien die op het apparaat gevonden zouden zijn. De applicatie raadt gebruikers aan om een betaald abonnement te nemen om deze virussen te verwijderen. Als de gebruiker wil betalen, steelt de malware de credit cardgegevens en misbruikt deze voor criminele transacties.

Theo Schutte, country manager Fortinet Nederland: “De dreiging van ransomware voor smarthpones en tablets is enorm toegenomen dit jaar. Dat geldt zowel voor iOS- als voor Android-apparaten. Er zijn inmiddels zoveel mobiele apparaten in gebruik dat het voor cybercriminelen lucratieve nieuwe doelwitten zijn naast de traditionele computers. Mensen moeten zich meer bewust zijn van de bedreigingen en meer maatregelen nemen om te voorkomen dat zij gegevens en geld verliezen via mobiele apparaten."

Schutte geeft drie tips voor de bescherming tegen mobiele ransomware:

1. Gebruik actuele en goed werkende antivirussoftware op je smartphone en tablet. Dit kan de installatie van besmette applicaties voorkomen, of het geeft ten minste een waarschuwing als dit dreigt te gebeuren.
2. Installeer alleen applicaties van vertrouwde bronnen en ontwikkelaars. Bij twijfel geeft een blik op de beoordelingen van andere gebruikers meestal wel een indruk of de applicatie veilig is.
3. Gebruikers van iPhones en iPads moeten de passcodes op het apparaat activeren en instellen. Dit verplicht het gebruik van een inlogcode voor het activeren van de Find My iPhone-functie. Daarmee sla je in ieder geval een aanval van de iCloud ‘Oleg Pliss' ransomware af.