2in1-Malware für Android stiehlt und verschlüsselt in Einem

Der Schädling agiert auf der einen Seite als typische Ransomware. So werden auf dem Android-Gerät und auch auf gefundenen Speichermedien wie MicroSD-Karten enthaltene Daten verschlüsselt. Weiterhin ändert die Malware das Passwort, so dass der Nutzer sich nicht mehr auf seinem Gerät einloggen kann. Anschließend wird eine Erpresser-Botschaft auf dem Lockscreen angezeigt.

Doch die Entwickler der Malware dachten sich offenbar: Warum sollen wir die Daten nur verschlüsseln, wenn wir sie auch gleich klauen können? So schickt der Schädling auch diverse gefundene Informationen an eine CnC-Server-Infrastruktur. Die Spionage-Einheit hat es dabei vor allem auf Banking-Daten, Passwörter, Sicherheits-Tokens und vergleichbar wertvolle Daten abgesehen, die sich direkt oder indirekt zu Geld machen lassen.

Simpelste Krypto

Wie eine Analyse der Malware durch Palo Alto Networks zeigte, haben Nutzer, deren Geräte infiziert wurden, insofern Glück, dass ihre Daten nicht verloren sind, wenn sie das Lösegeld nicht zahlen wollen. Denn die Entwickler hatten entweder wenig Ahnung von Kryptographie oder nahmen an, dass zumindest jene Personen, die am ehesten bereit sind zu zahlen, sich auch vom simpelsten Verschlüsselungs-Verfahren beeindrucken lassen. So erfolgt die Kodierung der Daten lediglich durch eine XOR-Operation, bei der jedes Byte um 50 Stellen verschoben wird.

Verbreitung findet die Malware derzeit vor allem in Australien und Russland. Allerdings können weitere Regionen zügig dazukommen. Um ihre Software auf die jeweiligen Geräte zu bekommen und die nötigen Rechte zu erhalten, imitieren sie die Apps verschiedener Banken. Bisher wurden 22 verschiedene Versionen gefunden und es könnten schnell mehr werden.