Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.685.335 Produkten

Olivia von Westernhagen 33

Ransomware DoubleLocker sperrt Android-Nutzer doppelt aus

Ransomware DoubleLocker sperrt Android-Nutzer doppelt aus

Bild: pixabay.com

Nach dem Motto "Doppelt hält besser" verschlüsselt eine neue Android-Ransomware nicht nur Dateien: Sie ändert zusätzlich auch die Geräte-PIN. Nur regelmäßige Backups retten die Daten.

Eine aktuell kursierende Erpresser-Malware für Android bringt neben der üblichen Daten-Verschlüsselung noch ein zweites, ebenso unangenehmenes "Feature" mit. Wie Sicherheitssoftware-Hersteller ESET berichtet, ändert der von ihm als DoubleLocker bezeichnete Schädling die Geräte-PIN – und unterbindet damit die Anmeldung nach einem Neustart.

Anzeige

Getarnt als angebliches Flash-Player-Update verbreite sich die Ransomware über dubiose Websites; im offiziellen Play Store wurde sie bislang noch nicht gesichtet. Einmal auf dem Gerät, sorgt sie für die Aktivierung der Google-Play-Dienste, die bereits seit Android-Version 2.2 fester Bestandteil des Betriebssystems sind. Als Schnittstelle für weitere Anwendungen auf dem Gerät dienen sie unter anderem zur Authentifizierung von Google-Diensten sowie zum Zugriff auf Datenschutzeinstellungen. DoubleLocker missbraucht sie laut ESET, um Admin-Rechte zu erlangen und sich selbst als Default-Home-App zu konfigurieren. Das bedeutet, dass sie immer dann aufgrufen wird, wenn der Nutzer auf den Home-Button tippt. Wie die Malware dabei genau vorgeht, geht aus ESETS Beschreibung allerdings nicht hervor.

DoubleLocker wird seinem Namen gerecht und entfaltet seine Payload in zwei Schritten. Zunächst ändert er die Geräte-PIN in eine zufällige Zahlenkombination, die weder gespeichert noch an die Angreifer gesendet wird. Somit ist es auch nicht ohne weiteres möglich, den Vorgang wieder rückgängig zu machen. Ein Neustart des Geräts – etwa im Zuge einer Bereinigung – führt unweigerlich dazu, dass der Nutzer den Zugriff verliert.

Infektionsschritt zwei besteht in der Verschlüsselung aller Dateien auf dem Gerät. Dazu nutzt DoubleLocker den AES-Algorithmus und hängt die Endung ".cryeye" an. ESET betont, dass die Verschlüsselung, anders als bei manch anderer Ransomware-Familie, korrekt implementiert wurde, was eine Entschlüsselung ohne den Key unmöglich macht. Das von der Malware geforderte Lösegeld liege bei 0.0130 BTC, was umgerechnet etwa 63 Euro entspricht. Um die Daten zu entsperren, müsse man innerhalb von 24 Stunden zahlen; ansonsten würden sie zwar nicht gelöscht, blieben jedoch dauerhaft verschlüsselt.

Das Zurücksetzen in den Werkszustand soll den Schadcode laut ESET beseitigen. Alternativ nennt der Hersteller noch eine zweite Vorgehensweise, die demnach aber nur auf gerooteten Geräten funktioniert, die sich bereits vor erfolgter Infektion im Debug-Modus befanden. Treffe dies zu, könne sich der Nutzer mittels Debug-Bridge (adb) mit dem Gerät verbinden, um die für die Speicherung des PIN-Codes verantwortliche Systemdatei zu löschen. Anschließend lasse sich der Bildschirm wieder entsperren, um der Malware die Admin-Rechte zu entziehen und sie anschließend zu deinstallieren. Eines haben beide Methoden allerdings gemeinsam: Sofern zuvor kein Backup angefertigt wurde, sind die verschlüsselten Daten verloren. (ovw)

33 Kommentare

Themen:

Anzeige
  1. Ransomware: Bad Rabbit lauerte in Watering Holes

    Ransomware: Bad Rabbit lauert in Watering Holes

    Bad Rabbit griff im Rahmen zielgerichteter Kampagnen vor allem Mitarbeiter osteuropäischer Unternehmen und Behörden an. Medienberichten zufolge verbreitet sich die Ransomware nun auch in Deutschland; die vorhandenen Hinweise sind allerdings eher dürftig.

  2. Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

    Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

    Der Trojaner soll Smartphones rooten und Authentifizierungs-Tokens von Google-Accounts kopieren. Über einen Online-Service kann man prüfen, ob das eigene Konto betroffen ist.

  3. Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen

    Alles was wir bisher über den Petya-Ausbruch wissen

    Ein riesiger Ausbruch eines weiteren Erpressungstrojaners hält die Welt in Atem. Wie kam es zu dem Angriff, wer profitiert davon und was kann ich unternehmen, um mich zu schützen? Wir haben den aktuellen Wissensstand zusammengetragen.

  4. WannaCry & Co.: So schützen Sie sich

    WannaCry & Co. – So schützen Sie sich

    Nach WannaCry ist vor dem nächsten Erpressungstrojaner. Was Gefährdete jetzt tun sollten, wie Sie sich vor Nachahmern schützen können und welche Optionen bleiben, wenn der Verschlüsselungstrojaner schon zugeschlagen hat.

  1. Ransomware: So entfernst du Verschlüsselungs-Trojaner

    Wenn deine Daten von einem Verschlüsselungs-Trojaner gekapert wurden, heißt es: Ruhe bewahren. Wir zeigen, was du gegen Ransomware tun kannst.

  2. So sicherst du Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen kannst du dich gegen Lösegeldforderungen schützen.

  3. Android Nougat: Funktionen, Veröffentlichung, Preview-Versionen

    Android Nougat: Funktionen, Veröffentlichung, Preview-Versionen

    Die nächste Android-Version heißt Android Nougat und kommt im Herbst 2016. Welche Funktionen Google in Android ändert, kann man zum großen Teil jetzt schon sehen: dank der Developer-Preview-Versionen von Android N.

  1. Samsung 860 Evo/Pro: neue SSDs für Desktop-Rechner

    Samsung bringt neue SSDs für Desktop-Rechner

    Rund drei Jahre hatte Samsung die SSDs aus den 850er Serien im Programm, nun kommen die Nachfolger. heise online konnte die Pro und Evo-Modelle der 860er Serie bereits testen.

  2. DJI Mavic Air geleakt: 4K-Drohne mit 21 Minuten Flugzeit

    DJI Mavic Air geleakt: 4K-Drohne mit 21 Minuten Flugzeit

    Schon vor der offiziellen Präsentation sind Bilder und Daten der DJI Mavic Air im Netz gelandet. Bei dem neuen Quadrocopter handelt es sich um eine Mischung aus Mavic Pro und der preiswerten Minidrohne Spark.

  3. Snowden-App Haven: Einsatz kaum mit deutschem Recht vereinbar

    Snowden-App Haven: In Deutschland rechtlich kaum benutzbar

    Die Privacy-App Haven soll vor Spionage-Angriffen schützen. Der Gebrauch ist allerdings in Deutschland rechtlich problematisch - sogar Freiheitsstrafe droht.

  4. Test: Jaguar XF Sportbrake 25d

    Jaguar XF Sportbrake

    Zwei Jahre nach der Limousine ist der Jaguar XF endlich auch als Kombi zu haben. Formal darf der als gelungen gelten, doch Schönheit allein wird ihm in dieser Klasse keinen dauerhaften Erfolg bringen. Wie fährt sich der XF Sportbrake mit dem 240-PS-Diesel? Ein Test sollte das klären

Anzeige