Öffnen und schliessen Sie Ihr Auto mittels eines Smartphones “ohne Schlüssel”. Was wie Zukunftsmusik klingen mag, ist seit geraumer Zeit bei einigen Fahrzeugmodellen von Audi, BMW, Opel und Volvo möglich. Doch leider hat diese neue Technik auch schon Cyberganster aufs Trapez gerufen.

Die Keyless-Go App, die zum öffnen des eigenen Fahrzeugs nötig ist, wurde von bislang unbekannten Cyberganstern mit einem Erpressungstrojaner verseucht. Wer dann sein Auto mit der Smartphone-App öffnet, erlebt eine böse Überraschung. Der eigene PKW lässt sich nicht mehr öffnen.

Bevor man sein Auto öffnen kann verlangt nun ein Erpresser, der sich “Highwayman” (Wegelagerer) nennt, ein Lösegeld in Höhe eines Viertel Bitcoin das sind ca. 92,- Euro (rund 100 CHF).  Betroffen davon sind zur Zeit Auto-Hersteller wie: Audi, BMW, Opel und Volvo.

Die gehackte Schlüssel App-Version sorgt zunächst dafür, dass der eigene Autoschlüssel nicht als Alternative zur Lösegeldzahlung benutzt werden kann. Allerdings nur bei solchen Besitzern, die tatsächlich spontan erpressbar sind. Wer sein Smartphone nicht mit sich führt, kann schlicht kein Lösegeld zahlen. Daher prüft die App offenbar zunächst, ob sich der Besitzer mit seinem Smartphone in der Nähe des Fahrzeugs befindet.

Falschinfo und die Falle schnappt zu

Wenn ja, meldet sie dem Hersteller gezielt die Falschinformation, der Autoschlüssel sei gestohlen worden. Daraufhin kontaktiert der Server des Herstellers das Fahrzeug, das daraufhin den Schlüssel sperrt- der ganze Vorgang dauert meist nur zehn bis fünfzehn Sekunden. In diesem Moment haben die Erpresser den Fahrer an der Leine: Beim Versuch, das Auto per App zu öffnen, begrüßt ihn die Lösegeldforderung, und sein Autoschlüssel hilft ihm nicht weiter.

Das Overlay verschwindet erst nach Zahlung des Lösegelds. Berührt man die “Zurück”-Schaltfläche, wird der Vorgang abgebrochen. Geht der Fahrer auf die Forderung ein, wird das Fahrzeug innerhalb weniger Sekunden geöffnet.

Bemerkenswert an “Highwayman” ist, dass er auf einer neu entwickelten Funktion fusst, die die meisten Fahrzeughersteller wohl erst im Laufe des April freischalten wollen. Bislang ist es offiziell gar nicht möglich, einen Autoschlüssel per App als gestohlen zu melden und ihn im Auto auf eine schwarze Liste setzen zu lassen.

Hersteller der Schlüssel-App sind ratlos

Tatsächlich verstehen die Kundendienst-Server von Audi, BMW, Opel und Volvo den Blacklist-Befehl schon– bloss die Apps bieten ihn bislang nicht an. Das legt nahe, dass die Kriminellen die neuen Befehle im NGTP-Protokoll kennen und wissen, wie sie sie so implementieren, dass die Backend-Server der Autohersteller sie verstehen.

Offen ist bislang, ob die Wegelagerer einen oder mehrere Komplizen im NGPT-Entwicklerteam haben, oder sich ohne persönliche Kontakte ins Team Zugriff auf das Firmennetz verschafft haben.

Die Lösung:

Der wirksamste Schutz, um den Erpressern nicht zum Opfer zu fallen, ergibt sich aus der Vorgehensweise der Täter: Deinstallieren Sie die Fahrzeug-App von ihrem Smartphone und installieren Sie sie erst wieder, sobald Ihr Hersteller die Virenfreiheit der App garantiert.