Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

News: Android/Simplocker.A treibt sein Unwesen

Alarm: Android-Erpressungs-Trojaner verschlüsselt Dateien

Michael Nickles / 8 Antworten / Baumansicht Nickles

Android-Nutzer werden aktuell von einem russischen Erpressungs-Trojaner bedroht, berichtet das Sicherheitsunternehmen eset. Wenn die "Ransomware" zuschlägt erscheint am Display eine Erpressungsmitteilung und gleichzeitig verschlüsselt ein Hintergrundprozess die auf dem Gerät befindlichen Daten.

Die Erpresserbotschaft erscheint auf dem Display in Russisch. (Foto: eset)

Aktuell wird die Erpressungsmitteilung wohl nur in Russisch ausgegeben. Sie teilt mit, dass das Gerät verriegelt wurde, weil damit angeblich verbotene Sachen angeguckt und verbreitet wurden.

Für die Entriegelung des Geräts werden 260 UAH (Ukrainische Währung "Griwna")  gefordert, was rund 16 Euro entspricht.

Die Zahlung soll über das russische Payment-Verfahren MoneXy abgewickelt werden (vermutlich ein recht anonymes Zahlsystem, das bei uns nicht verbreitet ist). Laut eset lassen sich Zahlung über MoneXy nur schwer zurückverfolgen. Die Erpresser versprechen, das Gerät binnen 24 Stunden nach Zahlungseingang zu entriegeln.

Die bisherige Untersuchung hat ergeben, dass die "Android/Simplocker.A" getaufte Ransomware SD-Speichermedien (womit vermutlich auch "interner" Smartphone-Speicher gemeint ist, der bei Android wie eine externe SD-Karte eingebunden wird) nach Mediendateien und Dokumenten mit folgenden Dateiendungen durchforstet: jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4.

Diese werden von der Schad-Software mit AES-Verschlüsselung unbrauchbar gemacht. Die Datenkommunikation der Ransomware mit den Cyberkriminellen wird laut eset über das relative anonyme Tor-Netzwerk abgewickelt, was eine Verfolgung schwer (aber nicht unmöglich!) macht.

Michael Nickles meint:

Die beschissene Sicherheit von Android-Geräten ist nicht nur für Kriminelle ein Segen, sondern vor allem auch für Unternehmen, die vermeintliche Schutzlösungen anbieten. Wenn  so eine Ransomware zuschlägt, dann haben Betroffene verloren. Mir ist zumindest kein Fall bekannt, bei dem die Zahlung eines Erpressungsgelds die gesperrten Daten zurückgebracht hat.

Ob es sich lohnt, Kohle für einen "Schutzmechanismus" zu blechen, halte ich allerdings für gleichermaßen fraglich: die Cyberkriminellen sind einfach zu schnell im Aushecken neuer Methoden.

Die einzige wirklich sinnvolle Maßnahme ist die, sich um ein regelmäßiges Backup der Smartphone-Daten zu kümmern. Unterwegs ist das natürlich schwer, wenn man klein zweites Gerät zum Sichern dabei hat. Auch kann man die Daten einer externen SD-Karte bei einem Android-Gerät kaum auf eine zweite SD-Karte transportieren, weil kein Gerät zwei SD-Speicherkartensteckplätze hat - und das Schaufeln über den "internen Speicher" ist zu lästig.

Ideal ist es, wenn sich an einem Android-Gerät externe Speichermedien wie USB-Sticks oder USB-Laufwerke nutzen lassen. Das klappt auch bei preiswerten Geräten zunehmend und ist ein gewichtiger Kaufentscheidungsfaktor. Alle Details dazu habe ich hier zusammengefasst: Android - USB-Anschluss prüfen und ausreizen.

Als weitere mobile Backup-Methode bietet sich sonst nur noch Cloud-Speicher an - so man einen bezahlbaren mobilen Datentarif hat. Cloud-Speicher halte ich aber für knifflig, da (je nach Synchronisationsmethode) eventuell noch funktionierende Daten in der Cloud durch solche ersetzt werden, die von der Ransomware verschlüsselt wurden. Dann hat man den kaputten Datenhaufen halt auf dem Gerät und in der Cloud. Es wäre gewiss interessant, das mal zu untersuchen.

bei Antwort benachrichtigen
torsten40 Michael Nickles „Alarm: Android-Erpressungs-Trojaner verschlüsselt Dateien“
Optionen

Die Daten sind dann sowieso weg, da kann man auch gleich neuflashen. Ärgerlich, aber nützt nix.

Mich würde mal interessieren, wie man sich das Teil einfängt. Übern Google Store kann ja bald nicht, und ansonsten gibt es fürs Web jede nur erdenktliche App, das fast keinen Webbrowser braucht. Es sei man will fsk18 Seiten besuchen.

Freigeist
bei Antwort benachrichtigen
andy11 Michael Nickles „Alarm: Android-Erpressungs-Trojaner verschlüsselt Dateien“
Optionen

Fnimanie (das erste Wort das soviel wie "Achtung" bedeutet) gefällt mir am besten.

Des weiteren wird wird da der Vorwurf gemacht, man konsumiere Kinder Pornos,

Zoophilie und Drogen.

Schon hart für die Betroffenen. Ich hab nichts das wichtig ist auf meinem. Gruß Andy

Alle Menschen sind klug ? die einen vorher, die anderen nachher. Voltaire
bei Antwort benachrichtigen
gelöscht_189916 Michael Nickles „Alarm: Android-Erpressungs-Trojaner verschlüsselt Dateien“
Optionen

Das Ding kann auch mit  Ну, погоди! entschärft werden;-)

bei Antwort benachrichtigen
andy11 gelöscht_189916 „Das Ding kann auch mit Ну, погоди! entschärft werden -“
Optionen
mit  Ну, погоди! entschärft werden;-)

Ja, abwarten und Tee oder Traditionelles trinken. Auch ne Lösung. Andy

PS: Upps. Hat die Zitatfunktion etwa eine kyrillische Schwäche?

Alle Menschen sind klug ? die einen vorher, die anderen nachher. Voltaire
bei Antwort benachrichtigen
gelöscht_189916 andy11 „Ja, abwarten und Tee oder Traditionelles trinken. Auch ne ...“
Optionen
Hat die Zitatfunktion etwa eine kyrillische Schwäche?


Gut möglich;-)

Ich nehme an, dass sich dieser Trojaner wie auch die angeblichen Virenscanner für Android, welche keine sind, an irgendwelchen Downloads einer App angehängt werden.
Vorstellen kann ich mir solche Sachen wie Apps für das Rooten oder andere Dinge, z.B. Spiele, lustige Bildchen usw.
Laut Heise sind momentan auch nur russische Androiden betroffen und es soll in ukrainischer Währung gelöhnt werden. Da trägt wohl ein Hacker sein persönliches Scherflein zu diesem beschissenen Krieg bei:-(

http://www.heise.de/security/meldung/Android-Trojaner-verschluesselt-Speicherkarte-2216517.html

bei Antwort benachrichtigen
torsten40 gelöscht_189916 „Gut möglich - Ich nehme an, dass sich dieser Trojaner wie ...“
Optionen
Vorstellen kann ich mir solche Sachen wie Apps für das Rooten

Nimms mir nicht übel, aber das ist an Haaren herbeigezogen. Millionen Handys sind gerootet, dann müssten die das ja alle haben. wie viele Fälle von diesem Trojaner sind bisher bekannt, dass Androidnutzer befallen worden sind? 2? Davon ab gibt es gibt diese Art Trojaner für Android und iOS schon länger.

Quasi jede Androidapp ist ein Trojaner. Da kommt es auf dein einen mehr oder weniger auch nicht drauf an. Einzig man kann vielleicht hoffen, dass es den einen oder anderen etwas wachrüttelt.

Täte es diese App im PlayStore als "Bildschirmschoner" geben, gäbe es mit Sicherheit Millionen die sich das Teil freiwillig installieren würden.

Freigeist
bei Antwort benachrichtigen
gelöscht_189916 torsten40 „Nimms mir nicht übel, aber das ist an Haaren ...“
Optionen

Da habe ich mich wohl etwas verrannt;-)

Auf jeden Fall kommt der Kamerad nicht über den Playstore auf das Smartphone und daher kann es nur eine App sein, von der sich der Besitzer einen gewissen 'Mehrwert' verspricht.

wie viele Fälle von diesem Trojaner sind bisher bekannt, dass Androidnutzer befallen worden sind?


Darüber schweigt sich ESET aus, viele werden es aber (noch?) nicht sein. Pikanterweise wird im unteren Absatz der Meldung darauf hingewiesen, sich die ESET-Virenschutzlösung zu besorgen.

Sollte nicht gerade Absicht dahinterstecken, werden zumindest Suggestivängste genutzt, um den eigenen Umsatz zu fördern. Wobei ich da annehme, dass im Zweifel ein "echter" Virenschutz genauso wirksam ist wie die Plazebos dazu, siehe Sinn und Unsinn einer AV-Lösung unter Windows.

bei Antwort benachrichtigen
xafford andy11 „Ja, abwarten und Tee oder Traditionelles trinken. Auch ne ...“
Optionen
Upps. Hat die Zitatfunktion etwa eine kyrillische Schwäche?

Ja, scheint so.... frage mich nur, wieso....

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen