/ Security / Ransomware DoubleLocker sperrt Android-Nutzer doppelt aus

Ransomware DoubleLocker sperrt Android-Nutzer doppelt aus

Moritz Rosenfeld on October 16, 2017 - 9:52 pm in Security

Nach dem Motto “Doppelt hält besser” verschlüsselt eine neue Android-Ransomware nicht nur Dateien: Sie ändert zusätzlich auch die Geräte-PIN. Nur regelmäßige Backups retten die Daten.

Eine aktuell kursierende Erpresser-Malware für Android bringt neben der üblichen Daten-Verschlüsselung noch ein zweites, ebenso unangenehmenes “Feature” mit. Wie Sicherheitssoftware-Hersteller ESET berichtet, ändert der von ihm als DoubleLocker bezeichnete Schädling die Geräte-PIN – und unterbindet damit die Anmeldung nach einem Neustart.

Getarnt als angebliches Flash-Player-Update verbreite sich die Ransomware über dubiose Websites; im offiziellen Play Store wurde sie bislang noch nicht gesichtet. Einmal auf dem Gerät, sorgt sie für die Aktivierung der Google-Play-Dienste, die bereits seit Android-Version 2.2 fester Bestandteil des Betriebssystems sind. Als Schnittstelle für weitere Anwendungen auf dem Gerät dienen sie unter anderem zur Authentifizierung von Google-Diensten sowie zum Zugriff auf Datenschutzeinstellungen. DoubleLocker missbraucht sie laut ESET, um Admin-Rechte zu erlangen und sich selbst als Default-Home-App zu konfigurieren. Das bedeutet, dass sie immer dann aufgrufen wird, wenn der Nutzer auf den Home-Button tippt. Wie die Malware dabei genau vorgeht, geht aus ESETS Beschreibung allerdings nicht hervor.

Ausgesperrt in zwei Schritten

DoubleLocker wird seinem Namen gerecht und entfaltet seine Payload in zwei Schritten. Zunächst ändert er die Geräte-PIN in eine zufällige Zahlenkombination, die weder gespeichert noch an die Angreifer gesendet wird. Somit ist es auch nicht ohne weiteres möglich, den Vorgang wieder rückgängig zu machen. Ein Neustart des Geräts – etwa im Zuge einer Bereinigung – führt unweigerlich dazu, dass der Nutzer den Zugriff verliert.

Infektionsschritt zwei besteht in der Verschlüsselung aller Dateien auf dem Gerät. Dazu nutzt DoubleLocker den AES-Algorithmus und hängt die Endung “.cryeye” an. ESET betont, dass die Verschlüsselung, anders als bei manch anderer Ransomware-Familie, korrekt implementiert wurde, was eine Entschlüsselung ohne den Key unmöglich macht. Das von der Malware geforderte Lösegeld liege bei 0.0130 BTC, was umgerechnet etwa 63 Euro entspricht. Um die Daten zu entsperren, müsse man innerhalb von 24 Stunden zahlen; ansonsten würden sie zwar nicht gelöscht, blieben jedoch dauerhaft verschlüsselt.

Entfernen klappt, Datenrettung aber nicht

Das Zurücksetzen in den Werkszustand soll den Schadcode laut ESET beseitigen. Alternativ nennt der Hersteller noch eine zweite Vorgehensweise, die demnach aber nur auf gerooteten Geräten funktioniert, die sich bereits vor erfolgter Infektion im Debug-Modus befanden. Treffe dies zu, könne sich der Nutzer mittels Debug-Bridge (adb) mit dem Gerät verbinden, um die für die Speicherung des PIN-Codes verantwortliche Systemdatei zu löschen. Anschließend lasse sich der Bildschirm wieder entsperren, um der Malware die Admin-Rechte zu entziehen und sie anschließend zu deinstallieren. Eines haben beide Methoden allerdings gemeinsam: Sofern zuvor kein Backup angefertigt wurde, sind die verschlüsselten Daten verloren. (ovw)

Read more on: Source

Comments are disabled