Die Malware ist aber auch deswegen so tückisch, weil sie das offene Instant-Messaging-Protokoll XMPP (Extensive Messaging and Presence Protocol) zur Kommunikation mit den Kontrollservern nutzt. Der Datenaustausch der Malware mit dem Backend ist normalerweise die Achillesferse solcher Programme, da der Datenverkehr, einmal detektiert, blockiert werden kann – etwa, indem man eine verdächtige URL sperrt, hinter der der Kommandoserver der Ransomware vermutet wird.
Datenverkehr über XMPP ist dagegen von Natur aus bereits verschlüsselt. Außerdem ist es sehr schwierig, den Datenaustausch der Ransomware von legitimem Instant-Messaging-Verkehr zu unterscheiden. Nicht zuletzt bedient sich diese spezielle Malware externer Funktionsbibliotheken, so dass bei der Aktivierung des Programms keine zusätzlichen Softwaremodule auf das Gerät heruntergeladen werden müssen: Die Verschlüsselung der auf dem Smartphone gespeicherten Daten tritt somit ohne Verzögerung ein.
Wie so häufig bei Android-Malware gerät auch die beschriebene Ransomware über sogenanntes Sideloading auf das Gerät. Das heißt also, das Programm wird über andere Kanäle als den Google-Play-Store bezogen. Unter Anderem tarnte sich das Programm als scheinbar legitimes Abspielprogramm für Adobe-Flash-Inhalte. „Neue Versionen des Programms erscheinen aber beinahe jeden Tag“, berichtet Ofer Caspi von Check Point in seinem Blog-Eintrag.
Die User werden über präparierte Websiten zum Download der Ransomware verführt. Bei der Installation auf dem Smartphone verlangt die Applikation Administratorrechte. Sind diese einmal gewährt, beginnt die Malware-App mit ihrem Werk.
Das bedeutet aber auch: Die Infektion mit der Ransomware ist vermeidbar, wenn man die Grundregeln der App-Sicherheit bei Android beachtet, nämlich keine Apps aus unbekannten Quellen zu beziehen und ihnen keine Administratorrechte zu verleihen.