Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Olivia von Westernhagen 33

Ransomware DoubleLocker sperrt Android-Nutzer doppelt aus

Ransomware DoubleLocker sperrt Android-Nutzer doppelt aus

Bild: pixabay.com

Nach dem Motto "Doppelt hält besser" verschlüsselt eine neue Android-Ransomware nicht nur Dateien: Sie ändert zusätzlich auch die Geräte-PIN. Nur regelmäßige Backups retten die Daten.

Eine aktuell kursierende Erpresser-Malware für Android bringt neben der üblichen Daten-Verschlüsselung noch ein zweites, ebenso unangenehmenes "Feature" mit. Wie Sicherheitssoftware-Hersteller ESET berichtet, ändert der von ihm als DoubleLocker bezeichnete Schädling die Geräte-PIN – und unterbindet damit die Anmeldung nach einem Neustart.

Getarnt als angebliches Flash-Player-Update verbreite sich die Ransomware über dubiose Websites; im offiziellen Play Store wurde sie bislang noch nicht gesichtet. Einmal auf dem Gerät, sorgt sie für die Aktivierung der Google-Play-Dienste, die bereits seit Android-Version 2.2 fester Bestandteil des Betriebssystems sind. Als Schnittstelle für weitere Anwendungen auf dem Gerät dienen sie unter anderem zur Authentifizierung von Google-Diensten sowie zum Zugriff auf Datenschutzeinstellungen. DoubleLocker missbraucht sie laut ESET, um Admin-Rechte zu erlangen und sich selbst als Default-Home-App zu konfigurieren. Das bedeutet, dass sie immer dann aufgrufen wird, wenn der Nutzer auf den Home-Button tippt. Wie die Malware dabei genau vorgeht, geht aus ESETS Beschreibung allerdings nicht hervor.

Ausgesperrt in zwei Schritten

DoubleLocker wird seinem Namen gerecht und entfaltet seine Payload in zwei Schritten. Zunächst ändert er die Geräte-PIN in eine zufällige Zahlenkombination, die weder gespeichert noch an die Angreifer gesendet wird. Somit ist es auch nicht ohne weiteres möglich, den Vorgang wieder rückgängig zu machen. Ein Neustart des Geräts – etwa im Zuge einer Bereinigung – führt unweigerlich dazu, dass der Nutzer den Zugriff verliert.

Infektionsschritt zwei besteht in der Verschlüsselung aller Dateien auf dem Gerät. Dazu nutzt DoubleLocker den AES-Algorithmus und hängt die Endung ".cryeye" an. ESET betont, dass die Verschlüsselung, anders als bei manch anderer Ransomware-Familie, korrekt implementiert wurde, was eine Entschlüsselung ohne den Key unmöglich macht. Das von der Malware geforderte Lösegeld liege bei 0.0130 BTC, was umgerechnet etwa 63 Euro entspricht. Um die Daten zu entsperren, müsse man innerhalb von 24 Stunden zahlen; ansonsten würden sie zwar nicht gelöscht, blieben jedoch dauerhaft verschlüsselt.

Entfernen klappt, Datenrettung aber nicht

Das Zurücksetzen in den Werkszustand soll den Schadcode laut ESET beseitigen. Alternativ nennt der Hersteller noch eine zweite Vorgehensweise, die demnach aber nur auf gerooteten Geräten funktioniert, die sich bereits vor erfolgter Infektion im Debug-Modus befanden. Treffe dies zu, könne sich der Nutzer mittels Debug-Bridge (adb) mit dem Gerät verbinden, um die für die Speicherung des PIN-Codes verantwortliche Systemdatei zu löschen. Anschließend lasse sich der Bildschirm wieder entsperren, um der Malware die Admin-Rechte zu entziehen und sie anschließend zu deinstallieren. Eines haben beide Methoden allerdings gemeinsam: Sofern zuvor kein Backup angefertigt wurde, sind die verschlüsselten Daten verloren. (ovw)

33 Kommentare

Themen:

Anzeige
  1. Ransomware: Bad Rabbit lauerte in Watering Holes

    Ransomware: Bad Rabbit lauert in Watering Holes

    Bad Rabbit griff im Rahmen zielgerichteter Kampagnen vor allem Mitarbeiter osteuropäischer Unternehmen und Behörden an. Medienberichten zufolge verbreitet sich die Ransomware nun auch in Deutschland; die vorhandenen Hinweise sind allerdings eher dürftig.

  2. Android-Trojaner GT!tr.spy soll vor allem deutsche Bank-Kunden ins Visier nehmen

    Android-Trojaner GT!tr.spy soll vor allem deutsche Bank-Kunden ins Visier nehmen

    Sicherheitsforscher warnen vor einem Android-Schädling, der es vor allem auf Bank- und Kreditkarten-Daten abgesehen hat. Die Malware-Entwicklern sollen den Funktionsumfang zügig ausbauen.

  3. Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

    Android-Malware Gooligan soll über 1 Million Google-Konten gekapert haben

    Der Trojaner soll Smartphones rooten und Authentifizierungs-Tokens von Google-Accounts kopieren. Über einen Online-Service kann man prüfen, ob das eigene Konto betroffen ist.

  4. Alles, was wir bisher über den Petya/NotPetya-Ausbruch wissen

    Alles was wir bisher über den Petya-Ausbruch wissen

    Ein riesiger Ausbruch eines weiteren Erpressungstrojaners hält die Welt in Atem. Wie kam es zu dem Angriff, wer profitiert davon und was kann ich unternehmen, um mich zu schützen? Wir haben den aktuellen Wissensstand zusammengetragen.

  1. So sicherst du Windows 10 gegen Erpresser-Trojaner ab

    Erpresser-Trojaner gehören zu den fiesesten Bedrohungen für PCs. Mit einigen Vorkehrungen kannst du dich gegen Lösegeldforderungen schützen.

  2. Android Nougat: Funktionen, Veröffentlichung, Preview-Versionen

    Android Nougat: Funktionen, Veröffentlichung, Preview-Versionen

    Die nächste Android-Version heißt Android Nougat und kommt im Herbst 2016. Welche Funktionen Google in Android ändert, kann man zum großen Teil jetzt schon sehen: dank der Developer-Preview-Versionen von Android N.

  3. Brauche ich einen Virenscanner für mein Android-Smartphone?

    Immer wieder liest man von Android-Viren, die Smartphones und Tablets befallen. Wir verraten dir, ob du einen Virenscanner für Android brauchst.

  1. Erste Ausfahrt: Jaguar E-Pace

    Jaguar E-Pace

    SUV plus gehobenes Image gleich Erfolg? Für Jaguar könnte diese Rechnung mit dem neuen E-Pace aufgehen. Eine erste Ausfahrt zeigt jedoch, dass ein klangvoller Name nicht alle Schwächen überdecken kann

  2. Vodafone schaltet UMTS-Femtozellen ab

    SIM Karte

    Vodafone kündigt Verträge für UMTS-Femtozellen, die in Gebäuden für eine bessere Mobilfunkanbindung sorgen.

Anzeige