Erste mobile Verschlüsselungs-Malware

Mitte Mai erschien in einem Virenschreiber-Forum eine Anzeige für den Verkauf eines einmaligen Schadprogramms zum Preis von 5.000 Dollar. Es handelte sich dabei um einen Verschlüsselungstrojaner, der unter dem mobilen Betriebssystem Android läuft. Nur wenige Tage später, am 18. Mai, registrierten wir das Auftreten eines mobilen Verschlüsselungstrojaners in freier Wildbahn, der von uns als Trojan-Ransom.AndroidOS.Pletor.a detektiert wird.

Bis zum 5. Juni registrierten wir über 2.000 Infektionen in 13 Ländern, die sich größtenteils auf dem Gebiet der ehemaligen Sowjetunion befinden: Aserbaidschan, Weißrussland, Kanada, Georgien, Deutschland, Griechenland, Kasachstan, Südkorea, Russland, Singapur, Tadschikistan, Ukraine und Usbekistan. Der Ausbreitungshöhepunkt von Trojan-Ransom.AndroidOS.Pletor.a fiel dabei auf den 22. Mai – an diesem Tag registrierten wir über 500 neue Infektionen.

Zum gegenwärtigen Zeitpunkt konnten wir mehr als 30 Modifikationen unterscheiden, die sich bedingt in zwei Gruppen unterteilen lassen. Die erste Gruppe nutzt zur Kommunikation mit den Cyberkriminellen das anonyme Netzwerk TOR, die zweite die üblichen HTTP- und SMS-Kanäle. Hinzu kommt, dass die Trojaner der zweiten Gruppe bei der Geldforderung an den Nutzer diesem sein eigenes Abbild zeigen, das mit Hilfe der Frontkamera des Smartphones übertragen wird.

android_locker_01

«Übersetzung des Bildtextes vom Russischen ins Deutsche: Wegen des Anschauens von verbotenem pornografischen Material (Pädophilie, Zoophilie) wird ihr Smartphone blockiert! Das gesamte Foto- und Videomaterial auf Ihrem Smartphone wurde zur Überprüfung weitergeleitet. Damit Ihr Telefon wieder entsperrt und die Materialien gelöscht werden, müssen Sie innerhalb von 24 Stunden eine Strafe von 1.000 Rubeln (ca. 21,50 €) zahlen. Zu diesem Zweck müssen Sie das Geld an die Nummer +79147011354 überweisen. ACHTUNG: Bei dem Versuch, der Strafe zu entgehen, werden alle Daten an öffentliche Quellen gesendet.»
Wie man sieht, nutzen die Autoren von Trojan-Ransom.AndroidOS.Pletor.a dieselben Themen aus wie die Autoren früherer Verschlüsselungstrojaner unter Windows auch.

Ansonsten ist die Funktionalität der verschiedenen Modifikationen von Trojan-Ransom.AndroidOS.Pletor.a gleich. Nach dem Start beginnt der Trojaner unter Verwendung des Verschlüsselungsalgorithmus‘ AES den Inhalt der Speicherkarte des Smartphones zu chiffrieren. Er ist interessiert an Mediadateien und Dokumenten: .jpeg, .jpg, .png, .bmp, .gif, .pdf, .doc, .docx, .txt, .avi, .mkv, .3gp, .mp4.

Sofort nach Beginn der Verschlüsselung zeigt Trojan-Ransom.AndroidOS.Pletor.a auf dem Bildschirm seine Lösegeldforderung an. Alle von uns bisher gefundenen Modifikationen des Trojaners erhoben ihre Forderungen in russischer Sprache und hatten es auf die Bewohner zweier Länder abgesehen: Russlands und der Ukraine. Die Erpresser fordern von ihren Opfern 260 Ukrainische Griwna (ca. 15,-€) bzw. 1000 oder 1200 Russische Rubel (21,50 € bzw. 25,70 €). Zum Transfer des Lösegeldes werden die Systeme QIWI VISA WALLET, MoneXy oder eine gewöhnliche Überweisung an eine Telefonnummer genutzt.

Wie sich gezeigt hat, setzt der Schädling Trojan-Ransom.AndroidOS.Pletor.a kein SMS-Spam als Verbreitungsmethode ein. In den meisten Fällen breitet er sich von gefälschten Porno-Websites aus, getarnt als Abspielprogramm von Videodateien. Obwohl wir auch Fälle registriert haben, in denen er sich als Spiel oder nützliches Programm unter Android verbreitet hat. Zudem breitete sich Trojan-Ransom.AndroidOS.Pletor über eins der größten russischsprachigen mobilen Foren aus.

Wenn Ihr Smartphone mit Trojan-Ransom.AndroidOS.Pletor infiziert ist, raten wir, kein Geld an die Cyberkriminellen zu zahlen. Alle von uns gefundenen Versionen des Trojaners enthalten einen Schlüssel, mit Hilfe dessen man alle Dateien dechiffrieren kann. Im Falle einer Infektion können Sie uns außerdem an newvirus@kaspersky.com schreiben und die von dem Trojaner in Mitleidenschaft gezogenen Dateien mitsenden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.