20.10.2017 Android: DoubleLocker sperrt PIN und Daten

Symbolbild

Eine neue Malware namens DoubleLocker verschlüsselt auf Geräten mit dem Google Betriebssystem die Daten und ändert gleichzeitig die Geräte-PIN. Das Lösegeld beträgt circa 60 Euro.

Dem Sicherheitsanbieter ESET zu Folge ist eine neue Erpressersoftware im Umlauf. Die als angebliches Update für Adobes Flash Player getarnte Ransomware lauert auf verschiedenen dubiosen Websites. Wird sie auf ein Gerät geladen, greift sie über die Google-Play-Dienste auf weitere Anwendungen sowie auf Datenschutzeinstellungen zu. In der Folge installiert sich die Malware als voreingestellte Anwendung für den Homescreen und tritt beim nächsten Aufruf des Startbildschirmes mit einer Lösegeldforderung von circa 60 Euro in Erscheinung. Denn sie hat nun bereits die Herrschaft über zwei Bereiche: Einerseits wurde die Geräte-PIN durch einen zufällig generierten Datencode ersetzt, andererseits codierte die Erpressersoftware die auf dem Gerät befindlichen Daten mit einem Verschlüsselungsalgorithmus. 

Laut ESET geben die Erpresser an, die Daten nach Zahlung des Lösegeldes innerhalb von 24 Stunden freizugeben, ansonsten blieben sie dauerhaft verschlüsselt. Die PIN wird dann aus der Entfernung zurückgesetzt.  

Um den Schadcode zu beseitigen, empfiehlt ESET die Rücksetzung in den Werkszustand. Eine weitere Möglichkeit soll bei gerooteten Geräten bestehen: War der Debugging-Modus vor der Infektion aktiviert, kann man über die Debug-Bridge eine Verbindung mit dem Gerät herstellen, um jene Systemdatei zu löschen, die für die Speicherung des PIN-Codes verantwortlich ist. So kann zumindest die PIN-Sperre umgangen werden, die Daten bleiben aber verloren. 

Weitere Informationen

Datum der Veröffentlichung: 20.10.2017

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria