WannaCry Ransomware Lookalike Targeting Android Smartphones

WannaCry-ähnliche Software verschlüsselt Dateien auf externem Speicher von Android-Smartphones

Es scheint, dass die WannaCry-Ransomware zur Inspirationsquelle für viele Gauner auf der ganzen Welt geworden ist. Wir hatten kürzlich berichtet, wie ein 14-jähriger Teenager aus Japan, der von der Malware beeindruckt war, letzte Woche verhaftet wurde, weil er eine Malware entwickelt hatte, die der WannaCry-Malware ähnelt.

Jetzt haben Cyberkriminelle in China eine Android-Ransomware entwickelt, die ähnliche Grafiken wie WannaCry verwendet und die Benutzer dazu bringt, schnell das Lösegeld zu zahlen.

Für diejenigen, die es nicht wissen: Die WannaCry-Ransomware nutzte eine Schwachstelle im Windows-Betriebssystem von Microsoft aus und infizierte innerhalb von 72 Stunden im letzten Monat mehr als 300.000 Computer in 150 Ländern. Der WannaCry-Ransomware-Kryptowurm verschlüsselte Daten und forderte die Zahlung in der virtuellen Währung Bitcoin im Austausch für ein Passwort zur Entsperrung der Daten.

Zuerst von der chinesischen Sicherheitsfirma Qihoo 360 entdeckt und von Avast als „WannaLocker“ bezeichnet, zielt diese Nachahmerversion der WannaCry-Ransomware derzeit auf Android-Nutzer in China ab. Die Hacker verbreiten diese Ransomware über chinesische Gaming-Foren, wo sie als Plugin für das King of Glory, ein sehr beliebtes mobiles Spiel in China, getarnt ist.

Wie funktioniert die Malware?

Nach der Installation dieses gefälschten Add-Ons auf dem Gerät versteckt die WannaLocker-Ransomware ihr App-Symbol im App-Drawer und ändert den Haupt-Hintergrundbildschirm des infizierten Geräts in ein Anime-Bild. Dann beginnt sie, die auf dem externen Speicher des infizierten Geräts gespeicherten Dateien zu verschlüsseln.

Die Ransomware verwendet AES-Verschlüsselung, um die Dateien zu sperren (siehe Code unten). Um eine Beschädigung und das Abstürzen des Android-Betriebssystems zu verhindern, verschlüsselt sie keine Dateien, die mit einem „.“ beginnen, oder Dateien, die „DCIM“, „download“, „miad“, „android“ und „com.“ im Pfad enthalten, oder Dateien, die größer als 10 KB sind.

Sobald der Verschlüsselungsprozess abgeschlossen ist, fordert sie ein Lösegeld, das sogar geringer ist als bei Simplocker, und verwendet eine Lösegeldnachricht, die eindeutig von der Notiz von WannaCry inspiriert ist, um ihre Anweisungen zu offenbaren.

Nikolaos Chrysaidos, Leiter der mobilen Bedrohungsintelligenz und Sicherheit bei Avast, erklärt in einem Blogbeitrag:

„Die Ransomware fordert dann ein Lösegeld von 40 chinesischen Renminbi, was etwa 5-6 US-Dollar entspricht. Das ist im Vergleich zu dem, was andere mobile Ransomware in der Vergangenheit gefordert hat, nicht viel. Die Tatsache, dass das Lösegeld in regulärer Währung und nicht in Kryptowährungen gefordert wird, lässt mich denken, dass die Leute dahinter versuchen, schnell Geld zu verdienen. Das ist jedoch riskant, da das Geld leicht zurückverfolgt werden kann, im Gegensatz zu Kryptowährungen.“

Die Opfer der Ransomware werden angewiesen, das Lösegeld in regulärer Währung mit chinesischen Zahlungsmethoden wie QQ, Alipay und WeChat zu zahlen.

Die schlampige Handhabung des Lösegeldes deutet darauf hin, dass es sich um ein Werk eines Amateur-Hackers oder einer Gruppe von Hackern handeln könnte. Daher ist es nur eine Frage der Zeit, bis die chinesischen Behörden herausfinden, wer hinter der WannaLocker-Ransomware steckt und wer das Lösegeld erhält.

Hier ist ein Sicherheitshinweis von Avast für Android-Nutzer:

Um Ihr Telefon und wertvolle Fotos, Videos, Kontakte, die darauf gespeichert sind, vor Ransomware zu schützen, stellen Sie sicher, dass Sie Ihre Daten häufig sichern und Antivirus auf all Ihren Geräten installieren.

Darüber hinaus sollten Android-Nutzer davon absehen, Apps in anderen App-Marktplätzen als Google Play herunterzuladen. Falls Sie Opfer eines Lösegeldangriffs werden, geben Sie nicht nach und suchen Sie stattdessen professionelle Hilfe.

In der letzten Woche hatte Check Point, ein Online-Sicherheitsunternehmen, eine bösartige Malware namens „Fireball“ entdeckt, die von der chinesischen Werbeagentur Rafotech erstellt wurde und die Kontrolle über den Webbrowser des Benutzers übernimmt und gefälschte Werbeanzeigen und Promotions für ihre Kunden online generiert. Die Malware betraf mehr als 250 Millionen Computer weltweit, wobei Indien am stärksten betroffen war.

Quelle: IBT