Die anonymen Cyber-Kriminellen verwenden das Logo des US-Geheimdienstes in erster Linie, um die Besitzer der befallenen Geräte einzuschüchtern. Diese Masche hat offensichtlich funktioniert: Wie Check Point Software mitteilt, sind bereits mehrere hunderttausend Dollar bezahlt worden, um die Smartphones wieder freizuschalten.
Die Malware ist aber auch deswegen so tückisch, weil sie das offene Instant-Messaging-Protokoll XMPP (Extensive Messaging and Presence Protocol) zur Kommunikation mit den Kontrollservern nutzt. Der Datenaustausch der Malware mit dem Backend ist normalerweise die Achillesferse solcher Programme, da der Datenverkehr, einmal detektiert, blockiert werden kann – etwa, indem man eine verdächtige URL sperrt, hinter der der Kommandoserver der Ransomware vermutet wird.
Datenverkehr über XMPP ist dagegen von Natur aus bereits verschlüsselt. Außerdem ist es sehr schwierig, den Datenaustausch der Ransomware von legitimem Instant-Messaging-Verkehr zu unterscheiden. Nicht zuletzt bedient sich diese spezielle Malware externer Funktionsbibliotheken, so dass bei der Aktivierung des Programms keine zusätzlichen Softwaremodule auf das Gerät heruntergeladen werden müssen: Die Verschlüsselung der auf dem Smartphone gespeicherten Daten tritt somit ohne Verzögerung ein.
Wie so häufig bei Android-Malware gerät auch die beschriebene Ransomware über sogenanntes Sideloading auf das Gerät. Das heißt also, das Programm wird über andere Kanäle als den Google-Play-Store bezogen. Unter Anderem tarnte sich das Programm als scheinbar legitimes Abspielprogramm für Adobe-Flash-Inhalte. „Neue Versionen des Programms erscheinen aber beinahe jeden Tag“, berichtet Ofer Caspi von Check Point in seinem Blog-Eintrag.
Die User werden über präparierte Websiten zum Download der Ransomware verführt. Bei der Installation auf dem Smartphone verlangt die Applikation Administratorrechte. Sind diese einmal gewährt, beginnt die Malware-App mit ihrem Werk.
Das bedeutet aber auch: Die Infektion mit der Ransomware ist vermeidbar, wenn man die Grundregeln der App-Sicherheit bei Android beachtet, nämlich keine Apps aus unbekannten Quellen zu beziehen und ihnen keine Administratorrechte zu verleihen.
Die Malware ist aber auch deswegen so tückisch, weil sie das offene Instant-Messaging-Protokoll XMPP (Extensive Messaging and Presence Protocol) zur Kommunikation mit den Kontrollservern nutzt. Der Datenaustausch der Malware mit dem Backend ist normalerweise die Achillesferse solcher Programme, da der Datenverkehr, einmal detektiert, blockiert werden kann – etwa, indem man eine verdächtige URL sperrt, hinter der der Kommandoserver der Ransomware vermutet wird.
Datenverkehr über XMPP ist dagegen von Natur aus bereits verschlüsselt. Außerdem ist es sehr schwierig, den Datenaustausch der Ransomware von legitimem Instant-Messaging-Verkehr zu unterscheiden. Nicht zuletzt bedient sich diese spezielle Malware externer Funktionsbibliotheken, so dass bei der Aktivierung des Programms keine zusätzlichen Softwaremodule auf das Gerät heruntergeladen werden müssen: Die Verschlüsselung der auf dem Smartphone gespeicherten Daten tritt somit ohne Verzögerung ein.
Wie so häufig bei Android-Malware gerät auch die beschriebene Ransomware über sogenanntes Sideloading auf das Gerät. Das heißt also, das Programm wird über andere Kanäle als den Google-Play-Store bezogen. Unter Anderem tarnte sich das Programm als scheinbar legitimes Abspielprogramm für Adobe-Flash-Inhalte. „Neue Versionen des Programms erscheinen aber beinahe jeden Tag“, berichtet Ofer Caspi von Check Point in seinem Blog-Eintrag.
Die User werden über präparierte Websiten zum Download der Ransomware verführt. Bei der Installation auf dem Smartphone verlangt die Applikation Administratorrechte. Sind diese einmal gewährt, beginnt die Malware-App mit ihrem Werk.
Das bedeutet aber auch: Die Infektion mit der Ransomware ist vermeidbar, wenn man die Grundregeln der App-Sicherheit bei Android beachtet, nämlich keine Apps aus unbekannten Quellen zu beziehen und ihnen keine Administratorrechte zu verleihen.
