Android Ransomware nutzt TOR

Originalartikel von Weichao Sun, Mobile Threats Analyst

Vor nicht allzu langer Zeit sind die ersten Ransomeware-Angriffe auf Mobilgeräte aufgetaucht, und nun gibt es bereits eine Weiterentwicklung dieser Attacken: Die Angreifer nutzen jetzt TOR, um ihre C&C-Kommunikation zu verbergen.
Die Sample-Analysen von AndroidOS_Locker.HBT durch die Trend Micro-Sicherheitsforscher zeigten, dass die Malware den Nutzer über eine Anwenderschnittstelle darüber in Kenntnis setzt, dass sein Gerät gesperrt wurde und er für die Freigabe ein Lösegeld von 1000 Rubel zahlen muss. Weigert er sich, so würden alle Daten auf dem Mobilgerät zerstört.

Beispiele von Apps, die diese Routine anzeigen, gibt es in Drittanbieter-Stores unter Namen wie Sex xonix, Release, Locker, VPlayer, FLVplayer, DayWeekBar, und Video Player. So sieht die Warnung aus, die der Nutzer erhält:


Bild 1. Warnung

Die auf russisch gehaltene Warnung besagt folgendes:

Wegen des Downloads und der Installation der Software nelitsenzionnnogo wurde Ihr Mobilgerät gemäß Artikel 1252 des russischen Zielgesetzbuches gesperrt.

 Zahlen Sie 1000 Rubel für das Entsperren des Telefons.

 Sie haben 48 Stunden Zeit, den Betrag zu zahlen, anderenfalls werden die Daten auf Ihrem Telefon dauerhaft zerstört!

 1. Suchen Sie das nächste QIWI-Zahlterminal.

 2. Wählen Sie dort Auffüllen QIWI VISA WALLET

 3. Geben Sie die Telefonnummer 79660624806 ein drücken Sie „weiter“

 4. Im Fenster geben Sie ihre Telefonnummer ein ohne 7ki

 5. Legen Sie Geld ins Terminal und drücken “zahlen”.

 6. 24 Stunden nach Eingang der Zahlung wird Ihr Telefon entsperrt.

 7. Sie können auch über mobile Shops oder Messenger Euronetwork zahlen.

 ACHTUNG: Sollten Sie versuchen, Ihr Telefon selbst zu entsperren, so wird das Gerät komplett gesperrt und Sie verlieren unwiderruflich alle Informationen.

Der Nutzer soll innerhalb von 48 Stunden auf das Konto 79660624806/79151611239/79295382310 über QIWI oder 380982049193 über Monexy einzahlen. Die Benutzerschnittstelle lässt sich auch nicht schließen, sodass das Gerät nicht zu benutzen ist. Gleichzeitig werden Dateien auf dem Gerät (sowohl intern als auch extern gespeicherte) in den folgenden Formaten verschlüsselt:

  • jpeg
  • jpg
  • png
  • bmp
  • gif
  • pdf
  • doc
  • docx
  • txt
  • avi
  • mkv
  • 3gp
  • mp4

Die beschriebenen Routinen sind typisch für Ransomware, doch fanden die Forscher auch heraus, dass die Schadsoftware über TOR mit dem Command-&-Control-Server kommuniziert. Es ist zwar nicht die erste Android-Schadsoftware, die TOR nutzt, doch die erste Ransomware Malware. Und angesichts der Datenmengen, die Nutzer auf ihren Mobilgeräten vorhalten, ist es sehr wahrscheinlich, dass dies nur den Anfang einer stetigen Weiterentwicklung von mobiler Ransomware darstellt.

Entfernen dieser Ransomware

Die bösartige App kann per Hand über die Android Debug Bridge von den mit der Ransomware infizierten Geräten entfernt werden. Adb ist Teil des Android SDKs, das kostenlos auf der Android Website zur Verfügung steht. Die folgenden Schritte sind für die Säuberung erforderlich:

  1. Installieren des Android SDK auf einem PC, einschließlich der adb-Komponente,
  2. Verbinden des betroffenen Geräts mit dem PC über USB,
  3. Ausführen des folgenden Befehls von der Kommandozeile:
    adb uninstall “org.simplelocker”

Diese Prozedur funktioniert problemlos auf Geräten mit Android-Versionen vor 4.2.2. Ab dieser Version gibt es ein Problem, weil das Gerät den Nutzer über einen Dialog auffordert, einen Schlüssel zu akzeptieren, der Debugging erlaubt. Doch die Ransomware-eigene Schnittstelle unterbricht den Dialog.

Wichtig ist es, USB-Debugging auf dem Gerät zu aktivieren, und zwar vor der Infektion. Das kann sich schwierig gestalten, da die Schritte dafür von Gerät zu Gerät unterschiedlich sind. Das Aktivieren von USB Debugging stellt zudem ein Risiko dar, weil ein Angreifer, der sich physischen Zugriff zum Gerät verschafft, einfach Dateien abgreifen kann, ohne Informationen auf dem Android-Lockscreen eingeben zu müssen.

Die beschriebene Prozedur entfernt die Ransomware, doch stellt sie keine gesperrten Dateien wieder her. Es empfiehlt sich diese aus den Backups (online oder offline) zu holen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*