Mobile Security

Ransomware: Chinesische Art

Ransomware: Chinesische Art
ESET entdeckte eine Android-Ransomware, die chinesisch spricht

Es ist eine neue Ransomware, die der europäische Security-Software-Hersteller ESET beobachtet hat. Dabei handelt es sich um ein neues Mitglied der chinesischen Jisut-Ransomware-Familie (Android/LockScreen.Jisut), die durch das Abspielen von  Sprachnachrichten auf sich aufmerksam machte.

Tatort Android-Smartphones oder Tablets

Infizierte Android-Smartphones oder Tablets spielen unvermittelt chinesische Tonnachrichten ab, die dem Besitzer zu verstehen geben, dass zum Entsperren seines Geräts 40 Yuan, etwa 5,50 Euro, gezahlt werden sollen, wie finanznachrichten.de dazu berichtete.

Durch ESET wird der Schädling als Android/Lockerpin erkannt, da sie den eigentlich schützenden Smartphone-Sperrbildschirm zurückzusetzen kann. Das Handy soll sich allerdings auch leicht wieder entsperren lassen.

Wie funktioniert die Android-Malware?

Die Verbreitung der Android-Malware erfolgt über einen schädlichen Dropper. Dieser dient zur Entschlüsselung und Ausführung. Die schadhafte App wird dann manuell ausgeführt.

Dazu wird der Nutzer aufgefordert mittels:

"Click for free activation"

Dann beginnt der Abfrageprozess damit, der App-Admin-Rechte einzuräumen, durch die das Gerät gesperrt und die Sprachnachricht mit der Zahlungsaufforderung abgespielt wird. Weitere Informationen zur Entsperrung gegen Entgelt folgen. Wer diese schließt, veranlasst die Malware dazu, den PIN-Code zu ändern. Darüber hinaus versucht die Ransomware vor der Lösegeldforderung auch, über einen gefälschten Login-Screen-Username und Passwort für das vor allem in China genutzte Social Network QQ zu finden und an den Urheber des Angriffs zu senden.

Jisut-Malware vermutlich aus China

Wie verlautet soll die Jisut-Malware-Familie in China weit verbreitet sein. Die ersten der mittlerweile hundert Varianten von Android/LockScreen. Jisut erschienen in der ersten Hälfte des Jahres 2014. Alle basieren auf der gleichen Code-Vorlage, übermitteln die Lösegeldforderungen aber auf unterschiedliche Arten. Neben dem Ransomware-Feature verschicken einige Varianten zudem SMS-Nachrichten an alle Kontakte im Telefonbuch, um die Malware weiter zu verbreiten.

Was können Betroffene tun?

Folgende Schritte sind möglich:

  • Unter Einstellungen > Sicherheit > Geräteadministratoren können die Admin-Rechte der App manuell entzogen und diese anschließend unter Einstellungen > Anwendungsmanager deinstalliert werden.
  • Erfahrene User, die ihr Android-Gerät gerootet haben, können mit eingeschalteten Debug-Modus über die Kommandozeile des PCs versuchen, die App zu deinstallieren.
  • Die letzte Option ist der Hard Reset bzw. der Factory Reset. Das Android-Gerät wird in den Zustand der Auslieferung zurückgesetzt. Leider gehen dabei auch alle Dateien und Daten des Nutzers auf dem Gerät dabei verloren.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben