Eerder gevonden types ransomware op Android-apparaten gebruikte over het algemeen vergrendelde schermen en andere methodes zoals het niet meer kunnen opstarten van applicaties om slachtoffers te laten betalen. Deze is veel verraderlijker omdat het echt bestanden versleutelt, zoals we dat zien gebeuren op computers. In het bijzonder worden bestanden met de extensies: jpeg, jpg, png, bmp, gif, pdf, doc, docx, txt, avi, mkv, 3gp en mp4 door de ransomware versleuteld. De afbeelding in dit artikel laat de bestanden in Total Commander zien die zijn versleuteld door de malware.
De app is in het Russisch en heeft waarschijnlijk nog niet veel apparaten in die regio kunnen besmetten. Het eist betaling in Oekraïense hryvnias (260 UAH, ongeveer €16) via de Oekraïense MoneXy betalingsdienst. Een besmet Android-apparaat geeft het volgende bericht weer in het Russisch:
WARNING your phone is locked!
The device is locked for viewing and distribution child pornography , zoophilia and other perversions.
To unlock you need to pay 260 UAH.
1. Locate the nearest payment kiosk.
2. Select MoneXy
3. Enter {REDACTED}.
4. Make deposit of 260 Hryvnia, and then press pay.
Do not forget to take a receipt!
After payment your device will be unlocked within 24 hours.
In case of no PAYMENT YOU WILL LOSE ALL DATA ON your device!"
De malware communiceert via een command & control server, wat in dit geval een verborgen service is op het TOR-netwerk, waardoor het moeilijk is om de echte locatie te achterhalen op het internet.
ESET identificeert deze kwaadwillige software als Android/Simplock.A. Het adviseert de slachtoffers door deze en andere soortgelijke ransomware, om het losgeld NIET te betalen. Net als bij echte gijzelingen worden door betaling de criminelen hierdoor alleen maar aangemoedigd en daarnaast zijn er geen garanties dat de bestanden wel echt ontsleuteld worden na betaling.
Om het risico uit te sluiten dat jouw Android-apparaat besmet wordt door dit soort Android malware, kun je het beste je apps alleen van bronnen als Google Play of de Amazon Store downloaden. En natuurlijk je apps en Android zo up-to-date als mogelijk houden.
Bron:
ESET Analyzes First Android File-Encrypting, TOR-enabled Ransomware: www.welivesecurity.com (door Robert Lipovsky)
Geschreven door Marco Korthout @ 4 jun. 2014 22:40
