Simplocker: Android hat nun seinen ersten Krypto-Trojaner

Android-Nutzer bekommen es nun ebenfalls mit einer Malware-Variante zu tun, die zuletzt auf PCs für einigen Wirbel sorgte: Das Security-Unternehmen Eset hat den wohl bisher ersten Krypto-Trojaner für Googles Mobile-Plattform entdeckt. Der Schädling wird unter dem Namen "Android/Simplocker" geführt. Gelingt es der Malware, auf einem Android-System Fuß zu fassen, analysiert es im nächsten Schritt die integrierte SD-Karte. Auf dieser werden dann verschiedene Dateitypen verschlüsselt. Anschließend wird versucht, den Anwender zu erpressen: Gegen die Zahlung eines bestimmten Geldbetrages soll er den Schlüssel erhalten, um seine Daten wieder zurückzubekommen.

Betroffen dürften derzeit vor allem Nutzer in Osteuropa sein. Die Anweisungen, die die Malware gibt, sind komplett in russisch gehalten. Weiterhin wird das Lösegeld in ukrainischer Währung gefordert. Wie beispielsweise auch der so genannte BKA-Trojaner versuchen die Täter sich dabei als Ordnungshüter hinzustellen, die wegen Rechtsverstößen Geldstrafen eintreiben.

Gedroht wird mit Datenverlust

"Das Gerät wurde wegen des Abrufens und Verbreitens von Kinderpornographie, Zoophilie und anderen Perversionen gesperrt", heißt es in der Mitteilung an den Anwender. Die zu zahlende Summe beläuft sich auf umgerechnet etwas mehr als 16 Euro. Der Transfer des Betrages soll dabei über ein anonymes Bezahlsystem abgewickelt werden. Für den Fall, dass der Nutzer nicht bezahlen will, wird mit dem Verlust aller Daten gedroht.

Die Verschlüsselung erfolgt auf dem Gerät via AES. Betroffen sind dabei Dateien, die tatsächlich von Bedeutung für den Anwender sein können: Bilder, Textdokumente und Videos. Konkret durchsucht die Malware die Speicherkarte nach Files mit den Endungen jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp und mp4.

Informationen über das betroffene Gerät, wie beispielsweise die IMEI-Nummer, werden zur Identifizierung an einen Kontroll-Server geschickt. Dieser ist dabei über eine .onion-Domain innerhalb des Anonymisierungsnetzes Tor erreichbar. Über diesen wird im Falle der Zahlung dann wohl tatsächlich die Entschlüsselung der Inhalte vorgenommen. Allerdings dürften die Malware vermutlich längst nicht so erfolgreich funktionieren, wie auf PCs, da Android-Smartphones in der Regel über regelmäßige Backups in der Cloud verfügen. Google, Android, Malware, Schadsoftware Public Domain