Ransomware-Kampage infiziert zehntausende Android-Geräte

Bildschirmfoto 2015-09-08 um 10.32.34

Sperrung des Gerätes durch die NSA

Pünktlich nach der Sommerpause erreicht uns wieder eine Welle mit neuartiger Ransomware. Die Experten von Check Point berichten, dass die neue Variante des Simplocker-Ransomware bereits über zehntausend Android-Geräte infiziert hat und dabei neue Wege beschreitet, um diverse Sicherheitsmechanismen auf den Geräten zu umgehen.

Die Simplocker-Malware infizierte bereits vor einem halben Jahr diverse Android-Geräte und verschlüsselte die darauf befindlichen Daten. Laut den Experten von Check Point ist nun eine gefährlichere Variante unterwegs, die sich wiederum als Video, bzw. Flash Player App für Android in diversen Drittanbeiter-Stores tarnt.

Der weitere Ablauf ist uns von andern Erpressungs-Trojanern bekannt: Nachdem der Benutzer bereitwillig die App heruntergeladen und ausgeführt hat, wird das Gerät, bzw. die Oberfläche des Gerätes sofort formatfüllend, hier von der “National Security Agency” gesperrt, die persönlichen Daten im Hintergrund verschlüsselt und ein Lösegeld zwischen 200$ und 300$ Dollar vom Anwender für die Freischaltung erpresst.

Bildschirmfoto 2015-09-08 um 12.08.39

Vorsicht bei Drittanbieter-Apps

Alles auf dem Android-Gerät wird gesperrt, ausser diverse Eingaben zu Lösegeldforderung. Die meisten uns bekannter Ransomware kommuniziert dabei hauptsächlich über das http-Protokoll mit Ihren Command- und Control-Server, doch diese neue Simplocker-Ransomware verwendet hierbei XMPP (Extensible Messaging and Presence Protocol) zur Kommunikation. Vorteil des XMPP-Protokoll ist, dass u.a. externe Bibliotheken sowie TLS für die Verschlüsselung der Kommunikation eingesetzt werden kann. Einerseits kann damit der Schadcode der Infektion deutlich verkleinert werden, weiterhin wird es schwieriger die Verbindung zum C&C Server zu verfolgen und von legitimen XMPP-Verkehr zu unterscheiden, bzw. fragliche Urls zu blockieren.

Tipp: Die Experten von Check Point haben die neue Variante des Simplocker-Ransomware genau analysiert und in Ihrem Blog veröffentlicht>>

Die Experten konnten mittlerweile hunderttausende XMPP-Nachrichten zwischen C&C-Server und infizierten mobile Geräte empfangen. Dabei zeigt sich das die Kriminellen den amerikanischen Bereich fokussieren, Europa und Asien aber ebenfalls betroffen sind. Weiterhin zeigte sich, dass ca. 10 Prozent der Benutzer das geforderte Lösegeld bezahlt haben. Unbekannt ist aber, ob die Android-Geräte nach Einzahlung des Lösegeldes wieder freigeschaltet wurden.

Angst und Einschüchterung ist hierbei die Motivation der Kriminellen: Kommen Sie der Lösegeldzahlung bitte nicht nach!!

Vorsicht ist hier besser als Nachsicht – Sichern Sie Ihr Gerät jetzt ab:

  • Halten Sie die Firmware des Gerätes immer aktuell.
  • Grundschutz: Installieren Sie auf dem Smartphone eine Antiviren Software
  • Installieren Sie Apps nur aus seriösen Quellen! Zur Sicherheit deaktivieren Sie auf dem Android unter Einstellungen-> Anwendungen-> das Laden von Apps aus Unbekannten Quellen”
  • Seien Sie misstrauisch bei unbekannten E-Mails/SMS mit eingebetten Links, bzw. mit dubiosen Anhängen
  • Prüfen Sie kritisch bei der Installation von neuen Apps, ob die geforderten Berechtigungen angemessen sind! Wenn Sie sich nicht sicher sind, sollten Sie die App nicht installieren.
  • Legen Sie regelmäßig Backups von Ihrem Gerät, bzw. den persönlichen Daten an.

Hilfreiche Artikel zum Erpressungs-Trojaner auf unserem Blog:

Besuchen Sie unseren Botnet-Check, um zu überprüfen ob Ihr Gerät Bestandteil eines Botnetzes ist, oder ob Ihr Browser noch aktuell ist.

Wenn Sie damit nicht weiterkommen, melden Sie sich in unseren kostenfreien Forum an und erstellen dazu einen Beitrag. Die Experten helfen Ihnen “Schritt für Schritt” bei der Behebung des Problems.

Bilder: checkpoint.com 

1 thought on “Ransomware-Kampage infiziert zehntausende Android-Geräte”

Kommentare sind geschlossen.