Android Malware verschlüsselt Inhalte der SD-Karte und verlangt Geld
Wie hat es Tim Cook in der Eröffnungs-Keynote zur WWDC 14 so schön genannt? Android dominiert den mobilen Malware Markt mit 99%. Keine Ahnung, ob diese Zahl korrekt ist, aber ein Fünkchen Wahrheit steckt sicher drin. Gibt es Neuigkeiten über mobile Malware, kann man fast sicher sein, dass Android betroffen ist. BBC berichtet nun über eine fiese Malware, die von ESET entdeckt wurde. Diese Erpresser-Malware verschlüsselt Medien-Dateien auf der SD-Karte und gibt diese erst nach Zahlung eines bestimmten Betrags wieder frei.
Fängt man sich diese Malware ein, erscheint eine in russisch verfasste Meldung auf dem Smartphone-Display, dass das Smartphone aufgrund von „Betrachten und Verbreiten von Kinderpornographie, Zoophilie und anderer Perversionen“ gesperrt ist. Für einen Unlock müssen rund 16 Euro gezahlt werden. Tut man dies nicht, werden die Daten gelöscht. Im Falle einer Zahlung sollen die Dateien nach 24 Stunden wieder zugänglich sein.
Während die Malware tatsächlich die Möglichkeit bereitstellt, gesperrte Inhalte wieder zu entschlüsseln, ist es jedoch nicht ausgeschlossen, dass nach einer Zahlung gar nichts passiert. Die Malware Android/Simplocker.A scannt die SD-Karte nach Dateiendungen (jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp, mp4) und verschlüsselt diese per AES.
An die Verursacher zu gelangen, dürfte schwierig sein. Der Server, an den Daten gesendet werden, mit dem die Malware kommuniziert, ist Teil des Tor-Netzwerks, kann somit schlecht verfolgt werden.
Solche Erpresser-Malware ist ein sehr beliebtes Mittel, um unvorsichtigen Nutzern das Geld aus der Tasche zu ziehen. Mit der großen Verbreitung von Android ist es ein logischer Schritt, dass Kriminelle sich immer mehr mit der Plattform beschäftigen. Und selbst wenn die Malware-Vertreiber nicht profitieren, ist das Geschäft mit der Angst zumindest für die Sicherheits-Software-Hersteller ein klarer Gewinn.
Die Bankverbindung zeigt doch auf einen Besitzer. Das dürfte doch ausreichen um Verursacher dingfest zu machen… …oder sehe ich hier irgendwie etwas falsch ?
Die Zahlung erfolgt über einen Dienst, der wohl dem entspricht, was hierzulande als Western Union bekannt ist. Du zahlst Geld ein, bekommst eine Transaktionsnummer. Jeder, der diese Nummer hat, kann sich das Geld holen, es gibt keinen „festen“ Empfänger, also auch niemanden, den man dingfest machen könnte.
Wieder einfach eine unnötige Panikmeldung. Es ist immer noch so, dass wenn man seine apps über google play installiert, NICHTS passiert. Wer sich apps über zwielichtige Seiten zieht, der riskiert halt auch einen Virus. Für eigentlich jeden normalen Nutzer ist die Gefahr auf eine solche Malware so gut wie nicht vorhanden. Da werden auch polemische Aussagen von Herrn Cook nichts dran ändern…
@jannez85: ist der Amazon Store auch zwielichtig? Will man von dort installieren, muss man zwangsläufig die Installation von irgendwelchen fremdem Quellen zulassen, da Android kein Konzept zu zertifizierten 3rd-Party Stores hat und auch niemals haben wird. Da heißt natürlich nicht, dass man dann sofort Malware hat, aber der wichtigste Schutz – Google Play Only – fällt damit weg.
Warum sollte ich über den Amazon Store apps installieren, wenn meine Sicherheit gefährdet ist? Nur um ein paar Euro für mittelmäßige Apps zu sparen die dort im Angebot sind?
Nur apps aus dem Apple Appstore installieren: Keine malware Gefahr
Nur apps aus Google Play installieren: Keine malware Gefahr
Ganz einfach
Nicht schlecht, tatsächlich mal eine der wenigen Schadanwendungen für Android wo ich mir nicht direkt denke, selbst schuld.
Das ich einer zwielichtigen App aus einer dritt-quelle keinen Zugang zu meinen SMS zum auslesen der TAN, oder solchen späßen geben sollte eigentlich den Leuten klar sein, deswegen zeige ich da meist wenig Mitleid. Aber hier wird wahrscheinlich nur Zugriff auf den SD Speicher benötigt. Sollte mit einem Android 4.4 aufgrund der eingeschränkten User Schreibrechte aber wohl die wenigsten betreffen. (Mal die gerooteten außen vor, die haben ja wieder volle Schreibrechte).
Da die App allerdings nur nach bestimmten Dateiendungen schaut, finde ich ist das wieder ein grund mehr zu schauen das man seine Dateien (in diesem Fall Bilder, Videos und Dokumente) sichert, und wenn es nur mit der Backup Funktion von Bittorrent Sync ist oder Google+ Upload.
@Troy Der wichtigste Schutz ist nicht der Play Store sondern die Google Play Services. So gut wie auf jedem Gerät vergleichen die Play Services installierte Apps (ja auch fremden Quellen) mit schädlichen Apps und zeigen dir eine Warnung sobald du was installieren möchtest das schädlich ist. Weniger als 0.001% aller App-Installationen versuchen dabei die System-internen Sicherheitsmechaniken auszuhebeln, noch weniger davon sind überhaupt erst erfolgreich.
Quelle 1: http://qz.com/131436/contrary-to-what-youve-heard-android-is-almost-impenetrable-to-malware/
Quelle 2: https://docs.google.com/presentation/d/1ISFxDkgwUkypT7LT4VDYSZKhFPpX_7k5mULvIAMhasY/edit?forcehl=1&hl=en#slide=id.g2bdaaeeab_01191
das ist halt das Problem der Freiheit: Wer gehen kann, wohin er will, kann auch den Abgrund runter gehen. Wer nur gehen kann, wohin der große Bos einen lässt, kann nur den Abrund runter gehen, wenn der große Bos das auch will.
Android-Benutzer haben die Freiheit zu installieren, was sie wollen, und daher können sie sich auch ein Verschlüsselungstool installieren. 🙂 Lassen sie aber den Bos entscheiden, was installiert und auch wieder deinstalliert wird, ist einer durchaus geringeren Gefahr ausgesetzt.
Interessant wird es erst, wenn sich eine solche App bei Google oder Apple vorbei an Kontrollen in den Store geschafft hat. Und ja, das ist auch möglich, dann ist es ein News-Eintrag wert, bis dahin: Kann man bitte in Überschrift und Artikel kenntlich machen, dass nur Idioten betroffen sein werden?
Wie funktioniert denn ein Unlock meiner Dateien ohne die 16,- Euro zu bezahlen? Haben die gängigen Sicherheits-Software-Hersteller hier schon Updates für Ihre Sicherheitssoftware rausgebracht?
Im Artikel wird auch gesagt, dass nach einer Zahlung eventuell gar nichts passiert und die Daten weiterhin gesperrt bleiben, aber die Malware eine Möglichkeit zum entsperren bereitstellt. Wie sieht diese Möglichkeit denn aus und ist diese erst nach der Zahlung vorhanden?
Naja diese Malware kann ja auf 4.4 gar nicht mehr funktionieren, da sie kein Zugriff auf die SD-Karte bekommt, außer ihr eigenes Verzeichnis…sollte man vlt. in den Artikel aufnehmen, das dieses „Sicherheitsproblem“ nur ältere Versionen betrifft.
Kann man bitte mal mit den Märchen aufhören, dass die offiziellen Stores sicher wären? Sowohl bei Apple als auch bei Google wurde schon mehr als einmal das Gegenteil gezeigt. Die Chancen sind vielleicht geringer, sich was einzufangen, bei 0 sind sie aber bei weitem nicht.
@Mike Beide Stores haben über 1 Million Apps. Auch wenn da 10.000 Apps schädlich sind, ist die Wahrscheinlichkeit sehr gering, dass es dich trifft. Solche Apps haben ja zudem sehr geringe Downloadzahlen/Bewertungen und sind somit so gut wie gar nicht zu finden, außer man sucht explizit danach.
@TimTaylor: Weißt du, ob die Apps für diesen Zugriff eine gesonderte Berechtigung anfragen müssen?
@Sascha Ostermaier
Auch bei Western Union reicht die Transaktionsnummer nicht aus. Du musst angeben welche Person das Geld abholt und diese Person muss sich ausweisen. Das ist auch vollkommen unabhängig davon ob Du nun einen festen Account oder einen temporären Account von Western Union nutzt. Da bei solchen Geschäften die Transaktionsgebühren recht hoch liegen und die wegen jeden 16,- Euro da eine Transaktion starten müssten steigt für diese „nette“ Geste das Risiko exorbitant. Es gibt heute keine finanziellen Transaktionen mehr die anonym bleiben, es sei denn es sind Bargeldgeschäfte. Selbst bei Paysafe-Cards kann man via Rasterfandung den Verursacherkreis entsprechend einengen. Es kommt immer nur drauf an ob irgend jemand die Angelegenheit als „im öffentlichen Interesse“ deklariert. Man kann heute von der Couch mit Windows Boardmitteln schon einiges bewegen, da sollte es doch für Experten denkbar einfach sein, solche Leute dingfest zu machen.
@Yu
Nein, ich weiß nur das APPs auf 4.4 nicht mehr auf andere Ordner außer ihr eigenen schreiben dürfen.
@Stefan Musil: Interessant. Ist aber noch nicht immer so bei Western Union? Ich kenne das nämlich noch anders, da konnte man tatsächlich „anonym“ Geld empfangen. Ich gehe dennoch davon aus, dass der hier verwendete Bezahldienst „anonym“ ist. Zumindest gehe ich nicht davon aus, dass sich ein Malware-Entwickler die Mühe macht und den Server im Tor-Netzwerk versteckt, nur um dann über die Transaktion ausfindig gemacht werden zu können. Sind ja meist doch recht helle Köpfe hinter solchen Aktionen.
@Sascha Ostermaier
Welcher Staat soll denn anonyme Bezahldienste zulassen ? Selbst wenn das vereinzelt Staaten erlauben sollten, bei Transaktionen die Ländergrenzen überschreiten, greift dann spätestens das Recht des zweiten Landes. In Deutschland sind anonyme Bezahldienste unmöglich. Du kannst kein Konto mehr eröffnen ohne das Du dem „Screening“ zustimmst. Das Finanzamt schaut heute jedem Bürger voll in den Popo und wenn Du dem Fiskus nur 50,- Euro schuldest und die Mahnschreiben ignorierst, dann machen die mal schnell den Deckel auf alle Deine Konten drauf, selbst auf die von Ehegatten bei Kontentrennung. Die Nummer mit den anonymen Konten, die gibt es nur noch im Fernsehen. Was aber durchaus sein kann ist, das sich die Typen drauf verlassen das diese Aktionen NICHT für „im öffentlichen Interesse“ deklariert werden, eben weil sich der Staat da ein Ei drauf pellt. Das ist, wie wenn „Otto Normalverbraucher“ bedroht wird, solange der nicht in seinem Blut liegt, interessiert das niemanden. Zweierlei Maß eben. Ich glaube auch nicht das die nach der Zahlung einen Deaktivierungscode schicken. Das haben sie bei der PC Variante ja auch nicht gemacht. Sobald die Kohle da war, war der Job erfüllt und das Opfer uninteressant. Selbst bei Kreditkartengesellschaften in irgendeiner Bananenrepublik funktioniert das nicht mehr. Bestimmte Dienste kann man heute schon nicht mehr mit Kreditkarte bezahlen, weil diese Dienste von den Kreditkartengesellschaften in Summe ausgegrenzt werden. Du kannst heute teilweise nicht mal mehr Filesharing-Deinste mit einer Kreditkarte bezahlen, weil die inzwischen schon irgendwo auf einer Blacklist stehen. Sogar bei PayPal gibt es Grenzen. z.B. kann es Dir passieren, wenn Du mal ein paar Tausend Euro so transferieren willst, einfach damit das Geld nicht auf irgend einem Zwischenkonto auftaucht, das PayPal hier das PayPal Konto mal eben schnell aus der Hüfte sperrt und von Dir ein paar Details wissen wollen ohne die Dein Geld erst mal weiter auf Eis liegt. Die Sache mit den Tor-Netzwerken ist auch nur halb anonym, denn irgendeiner aus dem Netzwerk, bildet ja die Schnittstelle ins Tor-Netzwerk rein und wieder raus. Wenn alle diese Schnittstellen in die Plicht genommen werden, bricht das Tor-Netzwerk zusammen. Es gibt für alles eine Lösung Sascha, selbst wenn dazu das Bankgeheimnis gebeugt wird. Das hat sich die Welt inzwischen von den USA abgeschaut.
@Stefan Musil
Neben (zulassungsfreien) Bitcoins fallen mir da noch die üblichen Verdächtigen für juristisch halbgare, äußerst gewinnbringende Geschäfte ein, bspw Karibikinseln und britische Crown Dependencies. Was den Deaktivierungscode angeht: Die PC-Variante war deutlich stümperhafter gebaut, und besaß bspw keinerlei Verschlüsselung. Die hier basiert wohl auf AES, dürfte aber auch vergleichsweise einfach zu knacken sein.
@stefan Musil
Western Union hält sich an lokale Gesetze. In Somalia, Nigeria oder den Philippinen sieht das etwas anders aus.
@Stefan Musil
Soweit ich weiß ist es ganz einfach sich eine Prepaid Kreditkarte mit Guthaben zu besorgen. Das zahlst dann Bar und gibts im Netz einen Fake-Name ein und schon hast du dein anonymes Konto…
Prepaid Kreditkarten kann man nicht durch eine Bareinzahlung aufladen, nur per Überweisung. Nix mit anonym.