Forscher von Trend Micro haben einen neue Variante der Android-Malware SLocker entdeckt . Sie ahmt die Oberfläche der Ransomware WannaCry nach. Die Verbreitung erfolgt in erster Linie über Chat-Gruppen des chinesischen Social Network QQ, die sich mit dem Android -Spiel King of Glory befassen. Die Ransomware selbst gibt sich als Schummel-Tool aus. King of Glory hat in China rund 200 Millionen registrierte Nutzer.
SLocker ist in der Lage, Dateien auf einem Android-Smartphone zu verschlüsseln. Erstmals wurde die Erpressersoftware im Juli entdeckt. Ihr Entwickler wurde laut Trend Micro bereits von chinesischen Behörden verhaftet, was Nachahmer nicht davon abgehalten habe, SLocker weiterzuentwickeln.
Die neue Variante habe jedoch wenig mit der Ursprungsversion gemein. Sie sei mit der Android Integrated Development Environment (AIDE) entwickelt worden, einem Tool zur Erstellung von Android-Apps direkt auf einem Android-Gerät. „Es ist wichtig darauf hinzuweisen, dass AIDE es für Ransomware-Betreiber einfacher macht, einfache Android Package Kits (APKs) zu entwickeln und die Einfachheit des Tools kann Neulinge ermutigen, eigene Varianten zu entwickeln“, teilte Trend Micro mit.
Die Lösegeldforderung enthalte sogar einen Link zu einer QQ-Gruppe mit dem Titel „Lock-Phone Kindergarten“, in der die Entwicklung von Ransomware erklärt werde. Es gebe auch einen „Kontakt“-Link, der ebenfalls die QQ-Anwendung öffne – offenbar um Hilfe für die Entschlüsselung der Dateien anzufordern. In seinem QQ-Profil fordert der Ransomware-Betreiber seine Opfer auf, bei einem eingehenden Anruf die Anweisungen zu befolgen.
SLocker: Verschlüsselung mit Schwächen
Wenn es um die Verschlüsselung von Dateien geht, soll die neue Variante allerdings weniger ausgefeilt sein als ihre Vorgänger. Sie verschlüssele alle Dateien auf der SD-Karte, inklusive der unwichtigen temporären Dateien, während sich SLocker früher auf Office -Dokumente, Fotos und Videos beschränkt habe. Zudem komme neben dem Verschlüsselungsalgorithmus AES auch der veraltete DES-Algorithmus zum Einsatz.
In einem Punkt scheint die neue Variante jedoch fortschrittlicher zu sein. Sie kann den Home-Bildschirm eines Android-Geräts permanent kapern. Tippt ein Opfer auf den „Entschlüsseln“-Button der Lösegeldforderung, erscheint eine Abfrage zur Aktivierung eines Geräteadministrators. Ein Klick auf „Abbrechen“ führt dazu, dass die Abfrage erneut eingeblendet wird. Versucht ein Opfer die Abfrage durch Tippen auf „OK“ loszuwerden, gewährt es der Ransomware Administratorrechte. Die nutzt sie, um die Geräte-PIN zu ändern und den Nutzer endgültig aus einem Gerät auszusperren – während die Lösegeldforderung als Hintergrundbild auf dem Sperrbildschirm angezeigt wird.
Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?
Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
