Eset: Simplocker-Trojaner verschlüsselt Dateien auf Android-Geräten

MobileMobile OSSicherheitVirus
Eset Logo (Bild: Eset)

Die neue Ransomware ist bislang aber offenbar nur in der Ukraine im Umlauf. Sie verschlüsselt Bilder, Dokumente sowie Videos und verlangt für die Dechiffrierung ein Lösegeld von umgerechnet 16 Euro. Eset zufolge handelt es sich mutmaßlich um eine Machbarkeitsstudie.

eset-android-simplocker
Der Android-Trojaner Simplocker verschlüsselt unter anderem auf der SD-Karte gespeicherte Fotos (Bild: Eset).

Das slowakische Sicherheitsunternehmen Eset hat nach eigenen Angaben die erste Verschlüsselungsschadsoftware für Android ausfindig gemacht. Der Android/Simplocker.A genannte Trojaner kursiert bislang aber offenbar lediglich in der Ukraine. Für die Freischaltung chiffrierter Dateien verlangt er ein Lösegeld von umgerechnet 16 Euro.

“Die Malware scannt, nachdem sie sich auf einem Android-Gerät eingenistet hat, die SD-Karte nach gewissen Dateitypen, verschlüsselt sie, und fordert ein Lösegeld, um die Dateien wieder freizugeben”, erläutert Eset-Forscher Robert Lipovsky in einem Blogbeitrag. “Wir haben es höchstwahrscheinlich mit einer Machbarkeitsstudie oder einem laufenden Arbeitsprozess zu tun.”

Die Verschlüsselungsmalware ist demzufolge auf Bilder, Dokumente und Videos fokussiert, die sie mit einer 256 Bit starken AES-Verschlüsselung versieht. “Achtung, Ihr Telefon wurde gesperrt”, heißt es laut Lipovsky auf Russisch in einer angezeigten Benachrichtigung. “Das Gerät wurde wegen des Betrachtens und der Verbreitung von Kinderpornographie, Zoophilie und anderen Perversionen gesperrt.”

Darüber hinaus liest Simplocker unter anderem die IMEI-Nummer, den Geräte- und Herstellernamen sowie die Betriebssystemversion aus und sendet die Daten an einen innerhalb des Tor-Netzes gehosteten Befehlsserver. Bislang konnten die Forscher den Verschlüsselungstrojaner nur in einer “Sex xionix” genannten Applikation nachweisen. Diese wird allerdings nicht über den Google Play Store vertrieben. Aus diesem Grund sei ihre Verbreitung bisher sehr gering.

Bereits Anfang Mai hatte ein Sicherheitsforscher von einer Variante der Ransomware Cryptolocker für Android berichtet. Sie wird demzufolge als schädliche APK-Datei über Porno-Websites verteilt. Deren Download wird zwar automatisch angestoßen, der Nutzer muss der Installation allerdings noch zustimmen. Die als Koler.A bezeichnete Schadsoftware sperrt im Anschluss den Home-Bildschirm. Dateien kann sie nicht verschlüsseln, es existieren dafür jedoch Varianten für Anwender in über 30 Ländern, darunter auch Deutschland.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen