Erpressungstrojaner "Highwayman" zielt auf Autofahrer

Wegelagerei 2.0: Die Keyless-Go-Apps einiger Autohersteller sind mit einem Erpressungstrojaner verseucht. Wer sein Auto gerne per App öffnet, erlebt eine böse Überraschung.

In Pocket speichern vorlesen Druckansicht 142 Kommentare lesen
Erpressungstrojaner "Highwayman" zielt auf Autofahrer

"Highwayman" lässt das Auto erst nach Lösegeldzahlung öffnen. Da lacht der grüne Mülleimer... nicht.

Lesezeit: 6 Min.
Von
  • Jan Schüßler
Inhaltsverzeichnis

Fahrer aktueller Fahrzeuge, die ihr Auto mit einer Keyless-Go-App für Android öffnen, sind gegenwärtig eine Zielscheibe für Cyberkriminelle. Wie heise Security inzwischen von diversen Besitzern von Autos der Marken Audi, BMW, Opel und Volvo erfahren hat, werden die Fahrer beim Versuch, ihr Auto per App aufzuschließen, erpresst. Bevor die jeweilige App bereit ist, das Fahrzeug zu öffnen, verlangt ein Erpresser, der sich "Highwayman" (Wegelagerer) nennt, ein Lösegeld in Höhe eines Viertel Bitcoin (entspricht derzeit rund 92 Euro). Das Overlay verschwindet erst nach Zahlung des Lösegelds; berührt man die "Zurück"-Schaltfläche, wird der Vorgang abgebrochen. Geht der Fahrer auf die Forderung ein, wird das Fahrzeug innerhalb weniger Sekunden geöffnet. Betroffen sind bislang ausschließlich Fahrer von Fahrzeugen, die in Deutschland zugelassen sind.

Dass die Apps meherer Autohersteller betroffen sind, verwundert zuerst, ist bei nährerer Betrachtung aber schlüssig: Weite Teile der Apps entstehen nicht bei den Herstellern selbst, sondern beim Entwicklerteam jenes Konsortiums, das auch das Next Generation Telematics Protocol (NGTP) vorantreibt. Offenbar haben Hacker den Code der App-Komponente KECcore (Keyless Entry and Check) kompromittiert. Gelangt dort Schadcode hinein, steckt er auch in den fertigen Apps – die einzelnen Hersteller passen im Regelfall bloß die Bedienoberfläche dem gewünschten Markendesign an.

Alle vier Konzerne wurden daher selbst von "Highwayman" kalt erwischt und wollten den Fall auf Nachfragen von heise Security noch nicht weiter kommentieren. Das NGTP-Team kündigte eine Überprüfung sämtlichen Codes ihrer Keyless-Entry-Software an. Die Pressesprecher aller betroffenen Hersteller raten ihren Kunden dringend, die App bis auf weiteres vom Smartphone zu entfernen.

BMW teilt die Vermutung, dass der Schädling über das NGTP-Team in die Apps gelangt ist und spricht von einem "schlechten Aprilscherz auf dem Rücken unserer Kunden". Für betroffene Fahrer, die das Lösegeld entrichtet haben, bleibt zu hoffen, dass die Konzerne eine unbürokratische Lösung zur Entschädigung finden.

Der Trojaner in Aktion

(Bild: Screenshot)

Erpressungstrojaner auf Windows-PCs waren in ihren Anfangszeiten eher lästig als wirklich schädlich – frühe Versionen haben nichts verschlüsselt, sondern den PC nur in eine Zahlungsaufforderung booten lassen oder den Internetzugang gesperrt. "Highwayman" ist offenbar um einiges ausgefeilter, obwohl es den ersten Fall von digitaler Erpressung von Autofahrern darstellt.

Anscheinend sorgt eine kompromittierte App-Version zunächst dafür, dass der Autoschlüssel nicht als Alternative zur Lösegeldzahlung benutzt werden kann. Allerdings nur bei solchen Besitzern, die tatsächlich spontan erpressbar sind: Wer sein Handy nicht mit sich führt, kann schlicht kein Lösegeld zahlen. Daher prüft die App offenbar zunächst, ob sich der Besitzer mit seinem Smartphone in der Nähe des Fahrzeugs befindet. Wenn ja, meldet sie dem Hersteller gezielt die Falschinformation, der Autoschlüssel sei gestohlen worden. Daraufhin kontaktiert der Server des Herstellers das Fahrzeug, das daraufhin den Schlüssel sperrt – der ganze Vorgang dauert meist nur zehn bis fünfzehn Sekunden. In diesem Moment haben die Erpresser den Fahrer an der Leine: Beim Versuch, das Auto per App zu öffnen, begrüßt ihn die Lösegeldforderung, und sein Autoschlüssel hilft ihm nicht weiter.

In einem Test mit einem betroffenen Fahrer eines Audi A6 konnte heise Security nachvollziehen, dass sich nach Zahlung der rund 92 Euro an die Erpresser das Fahrzeug einmalig entriegeln und wieder verschließen lässt – der Betrag danach jedoch abermals fällig wird. Der als gestohlen gemeldete Autoschlüssel wird durch die Zahlung offenbar nicht wieder freigegeben. Immerhin ist es der App nicht möglich, den Fahrer als Geisel zu nehmen: Die Entriegelungstaste, bei vielen Modellen in der Mittelkonsole zu finden, geht an der zentralen Steuereinheit ("Combox") vorbei und öffnet das Fahrzeug unabhängig von Schlüsseln und Apps.

Bemerkenswert an "Highwayman" ist, dass er auf einer neu entwickelten Funktion fußt, die die meisten Fahrzeughersteller wohl erst im Laufe des April freischalten wollen. Bislang ist es offiziell gar nicht möglich, einen Autoschlüssel per App als gestohlen zu melden und ihn im Auto auf eine schwarze Liste setzen zu lassen. Tatsächlich verstehen die Kundendienst-Server von Audi, BMW, Opel und Volvo den Blacklist-Befehl schon – bloß die Apps bieten ihn bislang nicht an. Das legt nahe, dass die Kriminellen die neuen Befehle im NGTP-Protokoll kennen und wissen, wie sie sie so implementieren, dass die Backend-Server der Autohersteller sie verstehen. Offen ist bislang, ob die Wegelagerer einen oder mehrere Komplizen im NGPT-Entwicklerteam haben, oder sich ohne persönliche Kontakte ins Team Zugriff auf das Firmennetz verschafft haben.

Dass die Ransomware-Welle nun Autofahrer trifft, dürfte kaum verwundern, denn bei vielen dürfte die Zahlungsbereitschaft vorhanden sein: Wer unter starkem Zeitdruck für Geschäftstermine steht, könnte im Zweifelsfall zumindest einmalig bereit sein, die rund 92 Euro zu berappen. Dass Erpressung funktionieren kann, bewies schon die Gemeinde Dettelbach nach einem Teslacrypt-Befall, indem sie der Lösegeldforderung nachgab, um die Kontrolle über ihre IT zurückzubekommen.

Der wirksamste Schutz, um den Erpressern nicht zum Opfer zu fallen, ergibt sich aus der Vorgehensweise der Täter: Deinstallieren Sie die Fahrzeug-App von ihrem Smartphone und installieren Sie sie erst wieder, sobald Ihr Hersteller die Virenfreiheit der App garantiert.

Lesen Sie dazu auch:

(jss)