Forscher von Trend Micro haben einen neue Variante der Android-Malware SLocker entdeckt. Sie ahmt die Oberfläche der Ransomware WannaCry nach. Die Verbreitung erfolgt in erster Linie über Chat-Gruppen des chinesischen Social Network QQ, die sich mit dem Android-Spiel King of Glory befassen. Die Ransomware selbst gibt sich als Schummel-Tool aus. King of Glory hat in China rund 200 Millionen registrierte Nutzer.
Die neue Variante habe jedoch wenig mit der Ursprungsversion gemein. Sie sei mit der Android Integrated Development Environment (AIDE) entwickelt worden, einem Tool zur Erstellung von Android-Apps direkt auf einem Android-Gerät. „Es ist wichtig darauf hinzuweisen, dass AIDE es für Ransomware-Betreiber einfacher macht, einfache Android Package Kits (APKs) zu entwickeln und die Einfachheit des Tools kann Neulinge ermutigen, eigene Varianten zu entwickeln“, teilte Trend Micro mit.
Die Lösegeldforderung enthalte sogar einen Link zu einer QQ-Gruppe mit dem Titel „Lock-Phone Kindergarten“, in der die Entwicklung von Ransomware erklärt werde. Es gebe auch einen „Kontakt“-Link, der ebenfalls die QQ-Anwendung öffne – offenbar um Hilfe für die Entschlüsselung der Dateien anzufordern. In seinem QQ-Profil fordert der Ransomware-Betreiber seine Opfer auf, bei einem eingehenden Anruf die Anweisungen zu befolgen.
Wenn es um die Verschlüsselung von Dateien geht, soll die neue Variante allerdings weniger ausgefeilt sein als ihre Vorgänger. Sie verschlüssele alle Dateien auf der SD-Karte, inklusive der unwichtigen temporären Dateien, während sich SLocker früher auf Office-Dokumente, Fotos und Videos beschränkt habe. Zudem komme neben dem Verschlüsselungsalgorithmus AES auch der veraltete DES-Algorithmus zum Einsatz.
In einem Punkt scheint die neue Variante jedoch fortschrittlicher zu sein. Sie kann den Home-Bildschirm eines Android-Geräts permanent kapern. Tippt ein Opfer auf den „Entschlüsseln“-Button der Lösegeldforderung, erscheint eine Abfrage zur Aktivierung eines Geräteadministrators. Ein Klick auf „Abbrechen“ führt dazu, dass die Abfrage erneut eingeblendet wird. Versucht ein Opfer die Abfrage durch Tippen auf „OK“ loszuwerden, gewährt es der Ransomware Administratorrechte. Die nutzt sie, um die Geräte-PIN zu ändern und den Nutzer endgültig aus einem Gerät auszusperren – während die Lösegeldforderung als Hintergrundbild auf dem Sperrbildschirm angezeigt wird.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
