Android-Malware: Neue SLocker-Variante kopiert Oberfläche von WannaCry

Sie verbreitet sich über das chinesische Social Network QQ. Die Ransomware tarnt sich als Schummel-Tool für das in China beliebte Spiel King of Glory. Die neue Variante verschlüsselt nicht nur alle Dateien auf einer SD-Karte, sie kann auch den Nutzer aus seinem Gerät aussperren.

Forscher von Trend Micro haben einen neue Variante der Android-Malware SLocker entdeckt. Sie ahmt die Oberfläche der Ransomware WannaCry nach. Die Verbreitung erfolgt in erster Linie über Chat-Gruppen des chinesischen Social Network QQ, die sich mit dem Android-Spiel King of Glory befassen. Die Ransomware selbst gibt sich als Schummel-Tool aus. King of Glory hat in China rund 200 Millionen registrierte Nutzer.

App-Malware (Bild: Shutterstock)SLocker ist in der Lage, Dateien auf einem Android-Smartphone zu verschlüsseln. Erstmals wurde die Erpressersoftware im Juli entdeckt. Ihr Entwickler wurde laut Trend Micro bereits von chinesischen Behörden verhaftet, was Nachahmer nicht davon abgehalten habe, SLocker weiterzuentwickeln.

Die neue Variante habe jedoch wenig mit der Ursprungsversion gemein. Sie sei mit der Android Integrated Development Environment (AIDE) entwickelt worden, einem Tool zur Erstellung von Android-Apps direkt auf einem Android-Gerät. „Es ist wichtig darauf hinzuweisen, dass AIDE es für Ransomware-Betreiber einfacher macht, einfache Android Package Kits (APKs) zu entwickeln und die Einfachheit des Tools kann Neulinge ermutigen, eigene Varianten zu entwickeln“, teilte Trend Micro mit.

Die Lösegeldforderung enthalte sogar einen Link zu einer QQ-Gruppe mit dem Titel „Lock-Phone Kindergarten“, in der die Entwicklung von Ransomware erklärt werde. Es gebe auch einen „Kontakt“-Link, der ebenfalls die QQ-Anwendung öffne – offenbar um Hilfe für die Entschlüsselung der Dateien anzufordern. In seinem QQ-Profil fordert der Ransomware-Betreiber seine Opfer auf, bei einem eingehenden Anruf die Anweisungen zu befolgen.

SLocker: Verschlüsselung mit Schwächen

Wenn es um die Verschlüsselung von Dateien geht, soll die neue Variante allerdings weniger ausgefeilt sein als ihre Vorgänger. Sie verschlüssele alle Dateien auf der SD-Karte, inklusive der unwichtigen temporären Dateien, während sich SLocker früher auf Office-Dokumente, Fotos und Videos beschränkt habe. Zudem komme neben dem Verschlüsselungsalgorithmus AES auch der veraltete DES-Algorithmus zum Einsatz.

In einem Punkt scheint die neue Variante jedoch fortschrittlicher zu sein. Sie kann den Home-Bildschirm eines Android-Geräts permanent kapern. Tippt ein Opfer auf den „Entschlüsseln“-Button der Lösegeldforderung, erscheint eine Abfrage zur Aktivierung eines Geräteadministrators. Ein Klick auf „Abbrechen“ führt dazu, dass die Abfrage erneut eingeblendet wird. Versucht ein Opfer die Abfrage durch Tippen auf „OK“ loszuwerden, gewährt es der Ransomware Administratorrechte. Die nutzt sie, um die Geräte-PIN zu ändern und den Nutzer endgültig aus einem Gerät auszusperren – während die Lösegeldforderung als Hintergrundbild auf dem Sperrbildschirm angezeigt wird.

ANZEIGE

Sie haben Optimierungsbedarf bei Ihren Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Android, Malware, Ransomware, Security, Sicherheit, Trend Micro

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Android-Malware: Neue SLocker-Variante kopiert Oberfläche von WannaCry

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *