FLocker, die mobile Ransomware befällt auch Smart TV

Originalbeitrag von Echo Duan, Mobile Threat Response Engineer

Die Nutzung mehrerer Geräte auf einer Plattform erleichtert vielen Usern das Leben. Doch wenn eine Schadsoftware eines dieser Geräte verseucht, so können alle anderen auch betroffen sein. Dies scheint die Android Lockscreen-Ransomware „FLocker“ zu tun, die auch Smart TVs sperren kann.


Bild 1. TV-Ransomware-Bildschirm

Seit dem Auftauchen von FLocker (ANDROIDOS_FLOCKER.A und kurz für „Frantic Locker”) im Mai 2015, sammelten die Sicherheitsforscher von Trend Micro mehr als 7.000 Varianten. Der Malware-Autor überarbeitet den Schädling ständig, um dessen Entdeckung zu vermeiden und die Routine zu verbessern. In den letzten paar Monaten gab es Spitzen und wieder Täler in der Zahl der veröffentlichten Versionen. Die letzte Spitze gab es Mitte April mit mehr als 1.200 Varianten.

Die neueste FLocker-Variante ist ein Polizei-Trojaner, der vorgibt, von der US-Cyberpolizei oder einer anderen Polizeibehörde zu kommen. Er beschuldigt potenzielle Opfer der Straftaten, die sie nicht begangen haben. Dann fordert er 200 $ in iTunes-Geschenkkarten. Die Analyse ergab, dass es keine großen Unterschiede zwischen den FLocker-Varianten gibt, die ein Mobilgerät oder einen Smart TV infizieren. Die Analyse der Routinen gibt es im Originalbeitrag.

Beim ersten Aufruf prüft FLocker, ob sich das Gerät in einem der folgenden osteuropäischen Länder befindet (Kasachstan, Aserbaidschan, Bulgarien, Georgien, Ungarn, Ukraine, Russland, Armenien oder Weißrussland). Ist dies der Fall, so deaktiviert sich der Schädling selbst. Erreicht er ein kompatibles Ziel, so wartet er 30 Minuten und führt dann seine Routine aus. Er startet den Hintergrund-Service, der Admin-Rechte fordert – wahrscheinlich ein Trick, um dynamische Sandboxen zu umgehen. Erhält die geforderten Rechte nicht, so friert er den Bildschirm ein und täuscht ein System-Update vor.

FLocker läuft im Hintergrund und verbindet sich mit einem Command & Control (C&C)-Server, der eine neue Payload misspelled.apk und die Lösegeld-HTML-Datei mit einem JavaScript (JS)-Interface liefert. Die HTML-Seite kann die APK-Installation anstoßen, Fotos vom betroffenen Nutzer und diese darstellen. Die Lösegeld-Webseite passt sich dem Bildschirm an, unabhängig davon, ob es ein Mobilgerät oder ein Smart TV ist.

Bild 2. FLockers Lösegeldseite

Während der Bildschirm gesperrt ist, sammelt der C&C-Server Daten, wie Geräteinformationen, Telefonnummer, Kontakte, tatsächlicher Standort und weitere. Diese werden mit einem AES-Schlüssel verschlüsselt und in base64 codiert.

Bild 3. Informationen werden an den C&C-Server gesendet

Ransomware erreicht den Nutzer normalerweise über Spam SMS oder bösartige Links. Deshalb ist beim Browsen Vorsicht geboten und auch beim Öffnen von Mails.

Lösungen

Wirdein Android TV infiziert, sollten Nutzer ihren Geräteanbieter kontaktieren. Kann ein Anwender ADB Debugging aktivieren, so kann er damit die Malware entfernen. Der Nutzer verbindet sein Gerät mit einem PC und startet die ADB Shell und führt den Befehl „PM clear %pkg%” aus. Damit wird der Ransomware-Prozess gekillt und der Bildschirm entsperrt. Dann kann er die Admin-Rechte rückgängig machen und die App deinstallieren.

Empfehlenswert für die Sicherheit mobiler Geräte ist die Installation einer Sicherheits-Software. Trend Micro Mobile Security und Trend Micro Mobile Security Personal Edition schützen Anwender vor dieser Ransomware und anderen Bedrohungen.

Zusätzliche Analysen von Veo Zhang and Kenny Ye

Hashes:

  • EC52052B4DC8C37708F9CD277A1EFAAABC4FE522
  • 392E8B90431DFE55CA03E04A49FCE1514D61638E
  • 73CFB54BD6830842553289D351A5C40EC821CE29
  • EB4764C55F092006FE68A533D337BDA21CFFCBE7
  • 57236520EE6FCB12ACB43A5CACE00EBBB7B9E257
  • 2A8381E2B2FAF165F03CCF8BE2CCB82AE2BC6022
  • 1E43ED84DD1E3ED18E3C4DAADF163B9E25217E0C
  • BB7CF8958F3484AAD73D57A6995E483205367743
  • 9C21A08BD4E329B5242B130765A420EB0DF6CF91
  • 768720CCD207B37942477CCA7285CF1DFDF7C0C7
  • F926D140680E84C59B0DA62FF08A4ABC42D209D3
  • 054ACD9B7D569FCC00591CECAA378578019C848F
  • 130F2311A3D4A9095AB7EDBAE54C4985BB59F384
  • 1B112B8CE74BA85175628C1139CE77C8F5B867EC
  • F230C9AFB23388F45127B09125E2EF34B5470F46
  • 27D6595EA510D94D0E2EE3A9F9A878EB4B56195A
  • 43E45499EA26406D8F3B8F661D58411A2D02073F
  • D35FD629DD2D02D919F6538C0B3DF896A2A6FC0D
  • 7C975AB7C7017A298BBE149B7F60303A3066691B
  • 2EDAAB6EDF0DFE789462BB2985F7E27E73C9DE43
  • 3E309D1AC8C03DA8E63B5A8F5E82061C5448A2C9
  • 5B45B906EB5BD2B45000D961541A2330A562A96F
  • 6B544DF15355ABBEE271E5A426B03EFBE3B245B2
  • 1A50CA69472ECF5B0CCF8B39FD94665C0E16AB09
  • C575D57CF8693EEB04C01110ADF8336BE2048C17

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*