Vorsicht, diese Ransomware zielt auf Ihre Smart-TVs ab

Cyberkriminelle erpressen Geld von Besitzern von Android Smart-TVs, nachdem sie ihre TVs mit Ransomware verschlüsselt haben

Es scheint, dass die Cyberkriminellen, egal was die Sicherheitsfirmen tun, um sie zu fassen, immer einen Schritt voraus sind. Inmitten der Ransomware-Bedrohungen, die in den letzten Wochen Schlagzeilen gemacht haben, ist eine neue Art von Bedrohung aufgetaucht.

Als man gerade dachte, dass Cyberkriminelle nur an der Hacking von Websites, dem Stehlen von Passwörtern usw. interessiert sind, scheint es, dass sie sich auf ein neues Interessensfeld bewegt haben, nämlich das Internet der Dinge (IoT). Mit anderen Worten, wenn Sie eine Smartwatch, einen Smart TV, einen Smart Kühlschrank oder ein anderes internetverbundenes Smart-Gerät besitzen, sollten Sie vorsichtig sein.

Trend Micro-Forscher sind auf eine Android-Mobilbildschirm-Ransomware gestoßen, die als „FLocker“ bekannt ist und in der Lage ist, Android-Smartphones sowie Smart-TVs zu sperren. Ja, Sie haben richtig gehört!

Echo Duan, ein Trend Micro-Forscher, schrieb in einem Blogbeitrag, dass seit der Veröffentlichung der FLocker-Version (erkannt als ANDROIDOS_FLOCKER.A und kurz für „Frantic Locker“) im Mai 2015 mehr als 7.000 Varianten der bösartigen Ransomware von der Firma verfolgt wurden. Die FLocker-Ransomware zielte zunächst auf Android-Smartphones ab, wobei die Entwickler die Ransomware kontinuierlich aktualisierten und Unterstützung für neue Android-Systemänderungen hinzufügten.

„Dies ist der erste große Fall von Ransomware, die TVs infiziert, den wir gefunden haben“, sagte Christopher Budd, globaler Kommunikationsmanager für Bedrohungen, in einer E-Mail an SCMagazine.com.

Laut dem Bericht hat der Autor die Malware ständig umgeschrieben, um die Erkennung zu verhindern und ihre Routine zu verbessern. „In den letzten Monaten haben wir Spitzen und Rückgänge in der Anzahl der veröffentlichten Iterationen gesehen. Der letzte Anstieg kam Mitte April mit über 1.200 Varianten“, sagte das Unternehmen.

Diese FLocker funktioniert als Polizeitrojaner und versucht, das potenzielle Opfer durch die Behauptung, die US Cyber Police oder eine andere Strafverfolgungsbehörde zu sein, zur Zahlung zu bewegen. Sobald die Malware heruntergeladen und der TV gesperrt ist, beschuldigt der Hacker potenzielle Opfer eines Verbrechens, das sie nicht begangen haben, und verlangt 200 US-Dollar in iTunes-Geschenkkarten, um den Smart TV oder das mobile Gerät zu entsperren.

Ironischerweise macht die Bequemlichkeit, die die Besitzer durch die Verwendung mehrerer Geräte, die auf einer Plattform laufen, erhalten, das Leben für die Hacker einfacher. „Die Verwendung mehrerer Geräte, die auf einer Plattform laufen, erleichtert vielen Menschen das Leben. Wenn jedoch eine Malware eines dieser Geräte betrifft, kann die besagte Malware schließlich auch die anderen betreffen“, schrieb Duan.

„Was die Lieferung betrifft, erfolgt sie über Standard-Infektionsvektoren: nichts Neues oder Besonderes. Die TVs sind in diesem Fall zufällige Kollateralschäden der Ransomware und nicht speziell ins Visier genommen. Sie laufen einfach auf einer angreifbaren Version von Android.“ sagte Budd.

Es gibt kaum einen Unterschied zwischen FLocker, das mobile Geräte angreift, und der Version, die Smart-TVs angreift.

„Um statische Analysen zu vermeiden, versteckt FLocker seinen Code in Rohdaten-Dateien im „assets“-Ordner. Die Datei, die es erstellt, heißt „form.html“ und sieht aus wie eine normale Datei. Dadurch wird der Code von „classes.dex“ ziemlich einfach und es kann kein bösartiges Verhalten dort gefunden werden. Somit hat die Malware die Chance, der statischen Codeanalyse zu entkommen. Wenn die Malware läuft, entschlüsselt sie „form.html“ und führt den bösartigen Code aus“, schrieb er.

Trend Micro sagt, dass die Malware so konfiguriert ist, dass sie sich in einigen Regionen, einschließlich Russland, Bulgarien, Ungarn, der Ukraine, Georgien, Kasachstan, Aserbaidschan, Armenien und Weißrussland, deaktiviert.

Wenn FLocker jedoch Geräte außerhalb dieser Länder erkennt, wartet die Malware 30 Minuten. Nach der kurzen Wartezeit startet sie den Hintergrunddienst, der sofort nach Administratorrechten für das Gerät fragt. Wenn der Benutzer die Anfrage ablehnt, wird der Bildschirm eingefroren und eine Systemaktualisierung vorgetäuscht.

FLocker läuft im Hintergrund und verbindet sich mit einem Command and Control (C&C). Das C&C liefert dann ein neues Payload misspelled.apk und die „Ransom“-HTML-Datei mit einer aktivierten JavaScript (JS)-Schnittstelle. Diese HTML-Seite hat die Fähigkeit, die APK-Installation zu starten, Fotos des betroffenen Benutzers mit der JS-Schnittstelle aufzunehmen und die aufgenommenen Fotos auf der Lösegeldseite anzuzeigen.

Die Lösegeld-Webseite passt sich dem Bildschirm an, unabhängig davon, ob ein mobiles Gerät oder ein Smart TV infiziert wurde.

Obwohl die neue Variante von FLocker keine Dateien auf dem infizierten Gerät verschlüsselt, hat sie die Fähigkeit, Daten vom Gerät zu stehlen, einschließlich Kontakte, Telefonnummer, Geräteinformationen und Standortdaten.

Während der Bericht von Trend Micro nicht klar ist, wie FLocker Smart-TVs infiziert, wird erwähnt, dass die Ransomware-Infektion typischerweise über SMS oder bösartige Links erfolgt.

Daher sollten Sie vorsichtig sein, während Sie im Internet surfen und Textnachrichten oder E-Mails von unbekannten Quellen erhalten.

Für diejenigen, die nicht in Osteuropa wohnen, empfahl Duan in seinem Blog: „Wir empfehlen den Benutzern, sich zuerst an den Geräteanbieter zu wenden, wenn ihr Android TV infiziert wird.“

Für diejenigen Opfer, die etwas technikaffin sind, können sie möglicherweise die Aufgabe selbst erledigen. Er sagte: „Eine andere Möglichkeit, die Malware zu entfernen, besteht darin, dass der Benutzer das ADB-Debugging aktivieren kann. Benutzer können ihr Gerät mit einem PC verbinden und die ADB-Shell starten und den Befehl „PM clear %pkg%“ ausführen. Dies beendet den Ransomware-Prozess und entsperrt den Bildschirm. Benutzer können dann die dem Anwendung gewährte Geräteadministratorberechtigung deaktivieren und die App deinstallieren.“

Er fügte hinzu: „Um mobile Geräte abzusichern, empfehlen wir, Sicherheitssoftware auf ihren Smart-Geräten zu installieren, um sie vor bösartigen Apps und Bedrohungen zu schützen. Trend Micro Mobile Security und Trend Micro Mobile Security Personal Edition schützen Benutzer vor dieser Ransomware und anderen verwandten Bedrohungen. Trend Micro Mobile Security Personal Edition ist im Google Play Store erhältlich.“

Das nächste Mal, wenn Ihr Android Smart TV sich weigert zu spielen, sollten Sie wissen, dass Sie mit einem großen Lösegeld rechnen müssen.