F-Secure Labs beobachten erste Ransomware "Koler" für Android

Verbrecherische und betrügerische Software (Crimeware) wird zunehmend von Windows basierten Systemen auf das Android Ökosystem transferiert. Die F-Secure Labs konnten bis jetzt Phishing- und falsche AntiViren-Scanner Betrugsversuche, Komponenten von Bankentrojanern für Android Systeme beobachten….und jetzt eben auch Ransomware (Erpressungs-Malware). Die F-Secure Labs haben dieser im Windows Umfeld unter dem Namen „Police Ransomware“ bekannten Ransomware den Namen “Koler” gegeben.

Das Crimeware-Ökosystem hat schon seit geraumer Zeit Android System im Visier und es sind regelmäßig einige Malware-Beispiele für Android Systeme aufgetaucht. Entsprechend ist es auch nicht überraschend, jetzt die erste Ransomware für Android Systeme zu beobachten. “Koler” funktioniert folgendermaßen:
Die Kompromittierung beginnt, wenn ein potentielles Opfer mit seinem Android System eine pornographische Webseite besucht. Die Malware gibt dann vor, ein bestimmter Video-Player zu sein, der zum Abspielen der Videos von dieser Webseite benötigt wird und installiert werden muss. Dieser Hinweis hängt aber von den “Zulassen unbekannter Inhalte” (“enable unknown sources”) Einstellungen des Android Gerätes ab.

Wenn die Installation der Malware erfolgreich vollzogen wurde, dann sendet “Koler” bspw. die Identifikationsinformationen eines infizierten Telefons an seinen Remote-Server. Danach sendet der Remote-Server eine Webseite an das infizierte Gerät zurück, die dem Nutzer den Hinweis anzeigt, dass sie/er eine illegale pornografische Seite besucht hat und nun das Gerät blockiert ist. Erst nach dem Zahlen einer Gebühr (Erpressung = Ransom) würde das Gerät wieder funktionieren.

Obwohl “Koler” behauptet, dass alle Dateien auf dem infizierten Gerät verschlüsselt wurden, so wird tatsächlich gar nichts von “Koler” verschlüsselt.

Hinter diesen Domains verstecken sich die Remote Server von “Koler”:

F-Secure Labs Android Ransomware "Koler" Screenshot des Hauptbildschirms

  • mobile-policeblock(.)com
  • police-guard-mobile(.)com
  • police-mobile-stop(.)com
  • police-scan-mobile(.)com
  • police-secure-mobile(.)com
  • police-strong-mobile(.)com

Aktuell sind sämtliche dieser Server nicht erreichbar. Auch im Google Cache werden nur die Inhalte (NSFW) eines dieser Server gefunden – aber die Malware wurde von diesem Server bereits entfernt. Diese Server sind/wurden in den USA gehosted. Eine WHOIS Suche nach dem Kontaktinformationen zu diesen Domains ergibt (bspw. die angegeben Telefonnummern), dass die Besitzer der Domains anscheinend in Dänemark und Russland zu finden sind.

Mittlerweile sind länderspezifische Versionen dieser Ransomware für über 30 Länder entdeckt worden. Die Inhalte wurde aus den Windows Versionen der “Police Ransomware” portiert und für mobile Browser angepasst.

Wie man “Koler” entfernen kann

Die Ransomware deaktiviert vorsorglich den “Zurück-Botton” – allerdings funktioniert der “Home” Button nach wie vor. Der geschädigte Nutzer hat nur ein paar Sekunden, um zu den Einstellungen des Gerätes zu gelangen und die Malware zu entfernen / das Gerät auf die Werkseinstellungen zurückzusetzen.

Eine andere Möglichkeit ist, das Gerät neu zu starten, das Service Menü aufzurufen und von hier aus “Koler” zu entfernen.

“Koler” verhindert zudem den Zugriff auf ein infiziertes Gerät über die “adb.exe” Datei. Sie können zwar die Shell starten – eine Ansicht von Dateien wird aber nicht erlaubt.

Weitere Informationen zu dieser Malware finden Sie in dieser Beschreibung: Trojan:Android/Koler.

Quelle: F-Secure Labs Weblog – Autor: Mikko Hyykoski

F-Secure – Switch on freedom
F-Secure (www.f-secure.com) ist ein Online-Sicherheits- und Datenschutz-Unternehmen aus Finnland. Mit F-Secure sind Millionen von Menschen rund um den Globus in der Lage, unsichtbar zu surfen, Inhalte zu speichern und zu teilen und sind sicher vor allen Online-Bedrohungen. Wir sind hier, um für die digitale Freiheit zu kämpfen. Schließen Sie sich der Bewegung an und schalten Sie um auf Freiheit. F-Secure wurde 1988 gegründet und ist börsennotiert an der NASDAQ OMX Helsinki Ltd.