IT-Sicherheitsforscher haben eine Neuheit unter den verschiedenen Arten von Android-Malware entdeckt: einen Trojaner, der Fotos, Videos und Dokumente auf dem Gerät verschlüsselt und für die Wiederherstellung ein Lösegeld fordert.

Die Rohheit des Android/Simplocker, so der Name der bösartigen App, lässt eine Malware in der Proof-of-Concept-Phase vermuten. Davon geht zumindest Robert Lipovsky aus, ein Malware-Forscher des Antiviren-Anbieters Eset.

Darüber hinaus richtet sich die Malware an die Nutzer auf Russisch und verlangt ein Lösegeld in ukrainischen Hrywni. Ein Hinweis darauf, dass sich die Malware hauptsächlich auf osteuropäische Nutzer fokussiert. Mit der Kombination aus Social Engineering, einer starken Verschlüsselung und einer robusten Internetarchitektur könnte der Trojaner Vorbote für ernsthafte und großflächige Bedrohungen in Zukunft sein. Auch die ersten Android-Trojaner, die horrende SMS-Rechnungen verursachten, stammten ursprünglich aus dieser Region.

Nach der Installation zeigt die App folgende Nachricht:
„WARNUNG! Dein Handy ist gesperrt!
Das Gerät wurde wegen des Betrachtens und Verbreitens von Kinderpornographie, Zoophilie oder anderen Perversionen gesperrt.
Zum Entsperren sind 260 UAH zu zahlen.
1. Finde die nächstgelegene Bezahlstelle.
2. Wähle MoneXy.
3. Gebe (Summe) ein.
4. Überweise 260 Hrywni und drücke auf Zahlen.

Nicht den Beleg vergessen!
Nach der Zahlung wird dein Gerät innerhalb von 24 Stunden entsperrt.
Falls du nicht zahlst, VERLIERST DU ALLE DATEN AUF dem Gerät!“

Die Malware scannt die SD-Karte auf Dateien mit den Endungen jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp und mp4. Dann wird der Advanced Encryption Standard zur Verschlüsselung angewendet. Noch ist nicht bekannt, ob das Zahlen des Lösegelds die Dateien tatsächlich wieder entsperrt. Eset rät von der Zahlung ab.

Nutzer können die Herrschaft über ihr Smartphone zurückgewinnen, indem sie im abgesicherten Modus starten. Allerdings gehen hierbei die verschlüsselten Daten verloren. Eine andere Methode wäre die Entfernung des AES-Schlüssels in der Malware, doch dies ist für viele vermutlich zu kompliziert.

Diese Malware kam nun zu Tage, nachdem erst letzten Monate eine andere Ransomware für Android entdeckt wurde. Nur acht Monate zuvor fielen reihenweise Computer der Ransomware Cryptolocker zum Opfer.

Nutzern wird weiterhin geraten, bei der Installation von Apps Vorsicht walten zu lassen, auch bei solchen aus dem Google Play Store, vor allem wenn sie nur wenige Downloads aufweisen oder von unbekannten Entwicklerkonten stammen.

Artikel von arstechnica.com, 06.06.2014: “WARNING Your phone is locked!” Crypto ransomware makes its debut on Android