Als wir zuletzt über Android/Simplocker berichtet haben – die erste Datei verschlüsselnde Android-Ransomware –, haben wir die verschiedenen Varianten der Malware sowie die unterschiedlichen Verteilungsmechanismen vorgestellt. Was ursprünglich lediglich ein Proof-of-Concept zu sein schien, hat sich trotz der Schwächen bei der Crypto-Implementierung nun zu einer ernsten Bedrohung entwickelt.

Vergangene Woche haben wir eine Variante der Ransomware entdeckt, die ein paar signifikante Verbesserungen aufweist.

1. Simplocker–FBI-warning12. Simplocker-FBI-warning23. Simplocker-moneypak14. Simplocker-moneypak2

Die erste auffällige Änderung bei Android/Simplocker.I ist, dass die Ransomware-Nachricht nicht mehr in Russisch, sondern in Englisch verfasst ist. Dem Opfer wird vorgegaukelt, dass sein Gerät vom FBI gesperrt wurde, weil illegale Aktivitäten entdeckt wurden. Derartige Behauptungen sind typisch für Polizei imitierende Ransomware und konnten bereits unzählige Male beobachtet werden. Das geforderte Lösegeld beträgt nun 300 Dollar (vorher waren es 260 UAH / 16 EUR / 21 Dollar) und das Opfer wird instruiert, die Bezahlung mit dem Service MoneyPak durchzuführen. Wie bei der vorherigen Version der Malware nutzt auch Android/Simplocker.I Scareware-Taktiken und zeigt Bilder der Webcam des Geräts.

Aus technischer Sicht hat sich bei der Datei verschlüsselnden Funktionalität nicht viel getan, abgesehen davon, dass ein anderer Verschlüsselungsschlüssel genutzt wird. Diese Simplocker-Variante wendet aber zwei zusätzliche Tricks an, um dem Opfer das Leben schwer zu machen.

5. simplocker-code

Neben Dokumenten, Bildern und Videos auf der SD-Karte des Geräts verschlüsselt der Trojaner nun auch Archivdateien: ZIP, 7z und RAR. Dieses „Update“ hat unerfreuliche Folgen, denn viele Android Backup-Tools speichern die Backups als Archivdateien, sodass sie im Falle einer Infizierung mit Android/Simplocker.I ebenfalls verschlüsselt werden.

Zudem wird die Malware nun als Geräte Administrator installiert, sodass sie schwieriger zu entfernen ist, vor allem wenn das Gerät zusätzlich gesperrt ist.
simplocker-flash
Wie bereits zuvor nutzt der Trojaner Social Engineering, um den Nutzer dazu zu bringen, ihn zu installieren – in dem gezeigten Screenshot tarnt er sich als Flash Video Player.

Unsere Statistiken legen nahe, dass sich die Bedrohung bislang noch nicht allzu weit im englischsprachigen Raum ausgebreitet hat.

Falls Sie zu den unglücklichen Opfern von Android/Simplocker.I gehören, können Sie den aktualisierten ESET Simplocker Decryptor verwenden, um die verschlüsselten Dateien wiederherzustellen. Wie immer ist unser Rat, vorsichtig zu sein – vor allem, wenn eine App nach Geräteadministratoren-Rechten fragt, sollten alle Alarmglocken klingeln.

SHA1 Hash: 72ec80b52ad38417240801dba1a730ab9804a2f9