Viren, Spyware, Datenschutz 11.241 Themen, 94.650 Beiträge

News: Android/Simplocker.A treibt sein Unwesen

Alarm: Android-Erpressungs-Trojaner verschlüsselt Dateien

Michael Nickles / 8 Antworten / Flachansicht Nickles

Android-Nutzer werden aktuell von einem russischen Erpressungs-Trojaner bedroht, berichtet das Sicherheitsunternehmen eset. Wenn die "Ransomware" zuschlägt erscheint am Display eine Erpressungsmitteilung und gleichzeitig verschlüsselt ein Hintergrundprozess die auf dem Gerät befindlichen Daten.

Die Erpresserbotschaft erscheint auf dem Display in Russisch. (Foto: eset)

Aktuell wird die Erpressungsmitteilung wohl nur in Russisch ausgegeben. Sie teilt mit, dass das Gerät verriegelt wurde, weil damit angeblich verbotene Sachen angeguckt und verbreitet wurden.

Für die Entriegelung des Geräts werden 260 UAH (Ukrainische Währung "Griwna")  gefordert, was rund 16 Euro entspricht.

Die Zahlung soll über das russische Payment-Verfahren MoneXy abgewickelt werden (vermutlich ein recht anonymes Zahlsystem, das bei uns nicht verbreitet ist). Laut eset lassen sich Zahlung über MoneXy nur schwer zurückverfolgen. Die Erpresser versprechen, das Gerät binnen 24 Stunden nach Zahlungseingang zu entriegeln.

Die bisherige Untersuchung hat ergeben, dass die "Android/Simplocker.A" getaufte Ransomware SD-Speichermedien (womit vermutlich auch "interner" Smartphone-Speicher gemeint ist, der bei Android wie eine externe SD-Karte eingebunden wird) nach Mediendateien und Dokumenten mit folgenden Dateiendungen durchforstet: jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4.

Diese werden von der Schad-Software mit AES-Verschlüsselung unbrauchbar gemacht. Die Datenkommunikation der Ransomware mit den Cyberkriminellen wird laut eset über das relative anonyme Tor-Netzwerk abgewickelt, was eine Verfolgung schwer (aber nicht unmöglich!) macht.

Michael Nickles meint:

Die beschissene Sicherheit von Android-Geräten ist nicht nur für Kriminelle ein Segen, sondern vor allem auch für Unternehmen, die vermeintliche Schutzlösungen anbieten. Wenn  so eine Ransomware zuschlägt, dann haben Betroffene verloren. Mir ist zumindest kein Fall bekannt, bei dem die Zahlung eines Erpressungsgelds die gesperrten Daten zurückgebracht hat.

Ob es sich lohnt, Kohle für einen "Schutzmechanismus" zu blechen, halte ich allerdings für gleichermaßen fraglich: die Cyberkriminellen sind einfach zu schnell im Aushecken neuer Methoden.

Die einzige wirklich sinnvolle Maßnahme ist die, sich um ein regelmäßiges Backup der Smartphone-Daten zu kümmern. Unterwegs ist das natürlich schwer, wenn man klein zweites Gerät zum Sichern dabei hat. Auch kann man die Daten einer externen SD-Karte bei einem Android-Gerät kaum auf eine zweite SD-Karte transportieren, weil kein Gerät zwei SD-Speicherkartensteckplätze hat - und das Schaufeln über den "internen Speicher" ist zu lästig.

Ideal ist es, wenn sich an einem Android-Gerät externe Speichermedien wie USB-Sticks oder USB-Laufwerke nutzen lassen. Das klappt auch bei preiswerten Geräten zunehmend und ist ein gewichtiger Kaufentscheidungsfaktor. Alle Details dazu habe ich hier zusammengefasst: Android - USB-Anschluss prüfen und ausreizen.

Als weitere mobile Backup-Methode bietet sich sonst nur noch Cloud-Speicher an - so man einen bezahlbaren mobilen Datentarif hat. Cloud-Speicher halte ich aber für knifflig, da (je nach Synchronisationsmethode) eventuell noch funktionierende Daten in der Cloud durch solche ersetzt werden, die von der Ransomware verschlüsselt wurden. Dann hat man den kaputten Datenhaufen halt auf dem Gerät und in der Cloud. Es wäre gewiss interessant, das mal zu untersuchen.

bei Antwort benachrichtigen
gelöscht_189916 torsten40 „Nimms mir nicht übel, aber das ist an Haaren ...“
Optionen

Da habe ich mich wohl etwas verrannt;-)

Auf jeden Fall kommt der Kamerad nicht über den Playstore auf das Smartphone und daher kann es nur eine App sein, von der sich der Besitzer einen gewissen 'Mehrwert' verspricht.

wie viele Fälle von diesem Trojaner sind bisher bekannt, dass Androidnutzer befallen worden sind?


Darüber schweigt sich ESET aus, viele werden es aber (noch?) nicht sein. Pikanterweise wird im unteren Absatz der Meldung darauf hingewiesen, sich die ESET-Virenschutzlösung zu besorgen.

Sollte nicht gerade Absicht dahinterstecken, werden zumindest Suggestivängste genutzt, um den eigenen Umsatz zu fördern. Wobei ich da annehme, dass im Zweifel ein "echter" Virenschutz genauso wirksam ist wie die Plazebos dazu, siehe Sinn und Unsinn einer AV-Lösung unter Windows.

bei Antwort benachrichtigen