Eset: Neue Android-Ransomware erpresst 300 Dollar von Android-Nutzern

MobileMobile OSSicherheitVirus
Eset Logo (Bild: Eset)

Dabei handelt es sich um eine Variante des im Juni entdeckten Trojaners Simplocker. Für die Erpressung des gegenüber der Ur-Version deutlich höheren Lösegelds nistet sich der Schädling tief ins Smartphone-System ein und verschlüsselt neben Dokumenten, Bildern und Videos nun auch Archiv- und Backupdateien.

Eset warnt vor der “Android/Simplocker.I” getauften Variante der Ransomware “Simplocker.A”. Die Originalversion der Android-Schadsoftware hat das Virenlabor des Sicherheitsanbieters im Juni entdeckt. Bei ihr handelt es sich um den ersten bekannten Filecoder für Googles Mobilbetriebssystem – also um Malware, die in der Lage ist, Dateien umzubenennen und zu verschlüsseln. Die neue Simplocker-Variante nistet sich dazu tief in das System des Smartphones ein und fordert mit einem Betrag von 300 Dollar eine im Vergleich zur Ur-Variante deutlich höhere Lösegeldsumme. Zudem kann der Schädling nun nicht nur Bilder, Videos oder Dokumente verschlüsseln, sondern auch Archiv- und Backupdateien.

ESET_moneypak
Die neue Simplocker-Variante fordert Android-Nutzer zwecks Dateienfreigabe zur Zahlung von 300 Dollar Lösegeld auf (Screenshot: Eset).

Die erste auffällige Änderung bei Android/Simplocker.I ist jedoch die Tatsache, dass die durch die Ransomware dargestellte Nachricht nicht mehr in russischer Sprache, sondern in Englisch verfasst ist. Dem Opfer wird darin vorgegaukelt, das Mobilgerät sei aufgrund illegaler Aktivitäten und entsprechender, auf dem Gerätespeicher lagernder Dateien, vom FBI aufgespürt worden. Das geforderte Lösegeld beträgt inzwischen 300 Dollar. Dies entspricht einer gegenüber dem Trojaner Simplocker.A deutlichen Betragssteigerung – waren es bei diesem doch lediglich 260 Ukrainische Hryvnia, die die Täter eintreiben wollten – umgerechnet also etwa 16 Euro.

Das Opfer wird anschließend angewiesen, die Bezahlung anhand des Zahlungsdienstes MoneyPak durchzuführen. Wie bei der vorherigen Version der Erpresser-Malware nutzt auch Android/Simplocker.I übliche Scareware-Taktiken, indem es dem Betroffenen nicht nur den Besitz und Konsum von unter anderem Kinderpornographie vorwirft, sondern überdies Bilder des Opfers zeigt, die von der Webcam des infizierten Gerätes abgegriffen wurden.

Aus kryptografischer Sicht hat sich bei dem Update des Simplocker-Trojaners laut Eset nicht viel getan. Erwähnenswert ist hierbei lediglich, dass ein anderer Schlüssel zum Einsatz kommt. Die neue Ransomware-Variante wendet dem Sicherheitsanbieter zufolge jedoch zwei zusätzliche Tricks an, um dem Opfer das Leben schwer zu machen. Neben Dokumenten, Bildern und Videos, die auf der MicroSD-Karte des Gerätes gespeichert sind, verschlüsselt der Trojaner nun auch Archivdateien der Formate Zip, 7z und RAR.

Damit hat die Schadsoftware einen empfindlichen Punkt getroffen, denn viele Android-Backup-Tools speichern Datensicherungen als Archivdateien, sodass diese im Falle einer Infizierung mit Android/Simplocker.I ebenfalls verschlüsselt werden. Zudem wird die Malware nun als Geräte-Administrator installiert, sodass sie schwieriger zu entfernen ist. Um Android-Nutzer zur Installation des Trojaners zu bewegen, nutzt dieser bewährte Social-Engineering-Methoden. So tarnt er sich beispielsweise als Adobe Flash Video Player.

Betroffenen empfiehlt Eset die Nutzung des hauseigenen Eset Simplocker Decryptor. Das in einer neuen Version vorliegende Tool soll in der Lage sein, die verschlüsselten Dateien wiederherzustellen. Immerhin zeigen Messungen des Sicherheitsunternehmens, dass sich der Trojaner bislang offenbar noch nicht allzu weit im englischsprachigen Raum ausgebreitet hat. Über die Bedrohungslage im deutschsprachigen Raum ist bis dato hingegen noch überhaupt nichts bekannt.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen