ESET: Spricht Ransomware bald Schwiizerdütsch?

Rainer Schwegler, Territory Manager Schweiz bei ESET (Bild: Eset)

Jena – «Grüezi, mir händ Ihres Handy entfüehrt. Bitte zahlet Sie s Lösegäld.» – so oder ähnlich könnte sich Malware demnächst zu Wort melden. Der europäische Security-Software-Hersteller ESET beobachtet Android-Ransomware immer wieder als grossen Trend unter Cyber-Kriminellen. Seit Kurzem macht ein neues Mitglied der chinesischen Jisut-Ransomware-Familie (Android/LockScreen.Jisut) durch das Abspielen von Sprachnachrichten auf sich aufmerksam.

Infizierte Android-Smartphones oder Tablets spielen unvermittelt chinesische Tonnachrichten ab, die dem Besitzer zu verstehen geben, dass zum Entsperren seines Geräts 40 Yuan – etwa 5.95 Schweizer Franken – gezahlt werden sollen. ESET erkennt die Malware als Android/Lockerpin, da sie den eigentlich schützenden Smartphone-Sperrbildschirm zurückzusetzen kann. Mit ein paar Tricks lässt sich das Handy allerdings schnell wieder entsperren.

Ransomware will auch Login-Daten abgreifen
Die Android-Malware wird über einen schädlichen Dropper verbreitet, der sie entschlüsselt und ausführt. Wird anschliessend die schadhafte App manuell geöffnet, taucht am unteren Bildschirmrand die Aufforderung «Click for free activation» auf. Mit einem Klick initiieren ahnungslose Nutzer den Prozess und werden aufgefordert, der App Admin-Rechte einzuräumen, durch die das Gerät gesperrt und die Sprachnachricht mit der Zahlungsaufforderung abgespielt wird.

Auf dem Bildschirm wird zudem eine Nachricht angezeigt, die über die nächsten Schritte zur entgeltlichen Entsperrung informiert. Wer diese einfach schliesst, veranlasst die Malware dazu, den PIN-Code zu ändern. Darüber hinaus versucht die Ransomware vor der Lösegeldforderung auch, über einen gefälschten Login-Screen Username und Passwort für das vor allem in China genutzte Social Network QQ zu finden und an den Urheber des Angriffs zu senden.

Urheber der Jisut-Malware vermutlich aus China
Die Jisut-Malware-Familie hat in China die grösste Verbreitung und stammt vermutlich aus den Händen einer einzigen Gruppe, die in frühen Versionen sogar ihre Kontaktdaten aus dem QQ-Netzwerk in die Ransomware-Screens einbauten, damit Opfer ihnen das Lösegeld zukommen lassen konnten. Laut diesen Kontaktdaten sind die Mitglieder der Gruppe zwischen 17 und 20 Jahre alt.

Die ersten der mittlerweile hundert Varianten von Android/LockScreen.Jisut erschienen in der ersten Hälfte des Jahres 2014. Alle basieren auf der gleichen Code-Vorlage, übermitteln die Lösegeldforderungen aber auf unterschiedliche Arten. Neben dem Ransomware-Feature verschicken einige Varianten zudem SMS-Nachrichten an alle Kontakte im Telefonbuch, um die Malware weiter zu verbreiten.

Letzte Möglichkeit: Der Hard-Reset
Im Falle einer Kompromittierung mit Android/LockScreen.Jisut können Nutzer auf folgenden Wegen gegen die Malware vorgehen:

  1. Unter Einstellungen > Sicherheit > Geräteadministratoren können der App die Admin-Rechte manuell entzogen und die App anschliessend unter Einstellungen > Anwendungsmanager deinstalliert werden.
  2. Erfahrene User, die ihr Android-Gerät gerootet haben, können mit eingeschalteten Debug-Modus über die Kommandozeile des PCs versuchen, die App zu deinstallieren.
  3. Die letzte Option ist der Hard-Reset beziehungsweise. der Factory-Reset: Das Android-Gerät wird in den Zustand der Auslieferung zurückgesetzt. Leider gehen dabei auch alle Dateien und Daten des Nutzers auf dem Gerät dabei verloren.

Über ESET
ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu geniessen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Bratislava, San Diego, Singapur und Buenos Aires.

 

Exit mobile version