Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

News: Android/Simplocker.A treibt sein Unwesen

Alarm: Android-Erpressungs-Trojaner verschlüsselt Dateien

Michael Nickles / 8 Antworten / Flachansicht Nickles

Android-Nutzer werden aktuell von einem russischen Erpressungs-Trojaner bedroht, berichtet das Sicherheitsunternehmen eset. Wenn die "Ransomware" zuschlägt erscheint am Display eine Erpressungsmitteilung und gleichzeitig verschlüsselt ein Hintergrundprozess die auf dem Gerät befindlichen Daten.

Die Erpresserbotschaft erscheint auf dem Display in Russisch. (Foto: eset)

Aktuell wird die Erpressungsmitteilung wohl nur in Russisch ausgegeben. Sie teilt mit, dass das Gerät verriegelt wurde, weil damit angeblich verbotene Sachen angeguckt und verbreitet wurden.

Für die Entriegelung des Geräts werden 260 UAH (Ukrainische Währung "Griwna")  gefordert, was rund 16 Euro entspricht.

Die Zahlung soll über das russische Payment-Verfahren MoneXy abgewickelt werden (vermutlich ein recht anonymes Zahlsystem, das bei uns nicht verbreitet ist). Laut eset lassen sich Zahlung über MoneXy nur schwer zurückverfolgen. Die Erpresser versprechen, das Gerät binnen 24 Stunden nach Zahlungseingang zu entriegeln.

Die bisherige Untersuchung hat ergeben, dass die "Android/Simplocker.A" getaufte Ransomware SD-Speichermedien (womit vermutlich auch "interner" Smartphone-Speicher gemeint ist, der bei Android wie eine externe SD-Karte eingebunden wird) nach Mediendateien und Dokumenten mit folgenden Dateiendungen durchforstet: jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4.

Diese werden von der Schad-Software mit AES-Verschlüsselung unbrauchbar gemacht. Die Datenkommunikation der Ransomware mit den Cyberkriminellen wird laut eset über das relative anonyme Tor-Netzwerk abgewickelt, was eine Verfolgung schwer (aber nicht unmöglich!) macht.

Michael Nickles meint:

Die beschissene Sicherheit von Android-Geräten ist nicht nur für Kriminelle ein Segen, sondern vor allem auch für Unternehmen, die vermeintliche Schutzlösungen anbieten. Wenn  so eine Ransomware zuschlägt, dann haben Betroffene verloren. Mir ist zumindest kein Fall bekannt, bei dem die Zahlung eines Erpressungsgelds die gesperrten Daten zurückgebracht hat.

Ob es sich lohnt, Kohle für einen "Schutzmechanismus" zu blechen, halte ich allerdings für gleichermaßen fraglich: die Cyberkriminellen sind einfach zu schnell im Aushecken neuer Methoden.

Die einzige wirklich sinnvolle Maßnahme ist die, sich um ein regelmäßiges Backup der Smartphone-Daten zu kümmern. Unterwegs ist das natürlich schwer, wenn man klein zweites Gerät zum Sichern dabei hat. Auch kann man die Daten einer externen SD-Karte bei einem Android-Gerät kaum auf eine zweite SD-Karte transportieren, weil kein Gerät zwei SD-Speicherkartensteckplätze hat - und das Schaufeln über den "internen Speicher" ist zu lästig.

Ideal ist es, wenn sich an einem Android-Gerät externe Speichermedien wie USB-Sticks oder USB-Laufwerke nutzen lassen. Das klappt auch bei preiswerten Geräten zunehmend und ist ein gewichtiger Kaufentscheidungsfaktor. Alle Details dazu habe ich hier zusammengefasst: Android - USB-Anschluss prüfen und ausreizen.

Als weitere mobile Backup-Methode bietet sich sonst nur noch Cloud-Speicher an - so man einen bezahlbaren mobilen Datentarif hat. Cloud-Speicher halte ich aber für knifflig, da (je nach Synchronisationsmethode) eventuell noch funktionierende Daten in der Cloud durch solche ersetzt werden, die von der Ransomware verschlüsselt wurden. Dann hat man den kaputten Datenhaufen halt auf dem Gerät und in der Cloud. Es wäre gewiss interessant, das mal zu untersuchen.

bei Antwort benachrichtigen
torsten40 Michael Nickles „Alarm: Android-Erpressungs-Trojaner verschlüsselt Dateien“
Optionen

Die Daten sind dann sowieso weg, da kann man auch gleich neuflashen. Ärgerlich, aber nützt nix.

Mich würde mal interessieren, wie man sich das Teil einfängt. Übern Google Store kann ja bald nicht, und ansonsten gibt es fürs Web jede nur erdenktliche App, das fast keinen Webbrowser braucht. Es sei man will fsk18 Seiten besuchen.

Freigeist
bei Antwort benachrichtigen