Eine Variante der Ransomware Flocker attackiert auch Android-basierte Smart-TVs und erpresst deren Besitzer.
Die Ransomware Flocker treibt schon seit über einem Jahr ihr Unwesen auf Android-Geräten. Die Bildschirme der befallenen Geräte werden gesperrt und die Besitzer werden zur Zahlung eines Lösegelds erpresst, um wieder den Zugriff auf das Gerät zu erhalten. Seit Mai 2015 haben die Sicherheitsexperten von Trend Micro laut eigenen Angaben über 7.000 Varianten von Flocker gesammelt. Allein seit Mitte April 2016 gab es über 1.200 neue Varianten.
Vergrößern Mit diesem Sperrbildschirm werden Smart-TV-Besitzer erpresst
Und eine dieser jüngeren Varianten befällt auch Smart-TVs und erpresst deren Besitzer. Dabei wird der Bildschirm des Smart-TV gesperrt und auf dem Fernseher erscheint ein Warnhinweis, der von einer US Cyber-Polizei oder einer anderen angeblichen Strafverfolgungsbehörde stamme. Dem Smart-TV-Besitzer wird erklärt, er habe gegen Gesetze verstoßen. Die Strafe solle mittels iTunes Geschenkkarten im Wert von 200 US-Dollar beglichen werden. Erst dann erhalte der Nutzer wieder den vollen Zugriff auf den Fernseher.
Die Analyse von Trend Micro ergab, dass die betreffende Ransomware alle Arten von Android-Geräten befällt und dabei den angezeigten Bildschirmtext je nach der Bildschirmgröße des Geräts anpasst. Beim ersten Start versucht die Ransomware zunächst einmal den Standort des Geräts zu ermitteln.
Lesetipp: Freeware macht fiese Ransomware-Angriffe unschädlich
Sollte der Fernseher in einem osteuropäischen Land wie Ukraine, Russland oder Bulgarien stehen, dann deaktiviert sie sich selbstständig. Das lässt zumindest die Vermutung zu, dass der Urheber der Ransomware aus Osteuropa stammt.
Steht der Fernseher dagegen in einem anderen Land, dann startet die Ransomware nach 30 Minuten einen Hintergrundprozess, der das Gerät befällt. Dabei nimmt die Flocker-Variante Kontakt zu einem C&C-Server (Command and Control) auf, um von diesem die weiteren Befehle zu erhalten. An den C&C-Server werden alle auf dem Gerät ermittelten Daten gesendet, wie beispielsweise Geräteinformationen, Kontakte und der Standort.
Auf den Smart-TVs landet die Ransomware über die üblichen Wege. Also etwa beim Anklicken eines Links, der in einer Spam-Mail gesendet wurde.
Trend Micro empfiehlt den betroffenen Smart-TV-Besitzern den Hersteller des Geräts zu kontaktieren. Ein anderer Weg, um den Erpresserschädling wieder loszuwerden, sei, das ADB-Debugging auf dem Gerät zu aktivieren, wenn das überhaupt noch möglich ist. Anschließend könne dann über ein PC eine ADB-Verbindung zum Gerät hergestellt und dann die Ransomware gelöscht werden. Dabei genüge oft der Befehl "PM clear %pkg%" in der ADB-Shell.
Grundsätzlich sollten alle Nutzer keinerlei Links anklicken, die von einem unbekannten Absender stammen. Außerdem sollten die Android-Geräte immer mit einer aktuell gehaltenen Sicherheitssoftware geschützt werden.
Quelle: pcwelt
Die Ransomware Flocker treibt schon seit über einem Jahr ihr Unwesen auf Android-Geräten. Die Bildschirme der befallenen Geräte werden gesperrt und die Besitzer werden zur Zahlung eines Lösegelds erpresst, um wieder den Zugriff auf das Gerät zu erhalten. Seit Mai 2015 haben die Sicherheitsexperten von Trend Micro laut eigenen Angaben über 7.000 Varianten von Flocker gesammelt. Allein seit Mitte April 2016 gab es über 1.200 neue Varianten.
Du musst angemeldet sein, um Bilder zu sehen.
Vergrößern Mit diesem Sperrbildschirm werden Smart-TV-Besitzer erpresst
© Trend Micro
Die Analyse von Trend Micro ergab, dass die betreffende Ransomware alle Arten von Android-Geräten befällt und dabei den angezeigten Bildschirmtext je nach der Bildschirmgröße des Geräts anpasst. Beim ersten Start versucht die Ransomware zunächst einmal den Standort des Geräts zu ermitteln.
Lesetipp: Freeware macht fiese Ransomware-Angriffe unschädlich
Sollte der Fernseher in einem osteuropäischen Land wie Ukraine, Russland oder Bulgarien stehen, dann deaktiviert sie sich selbstständig. Das lässt zumindest die Vermutung zu, dass der Urheber der Ransomware aus Osteuropa stammt.
Steht der Fernseher dagegen in einem anderen Land, dann startet die Ransomware nach 30 Minuten einen Hintergrundprozess, der das Gerät befällt. Dabei nimmt die Flocker-Variante Kontakt zu einem C&C-Server (Command and Control) auf, um von diesem die weiteren Befehle zu erhalten. An den C&C-Server werden alle auf dem Gerät ermittelten Daten gesendet, wie beispielsweise Geräteinformationen, Kontakte und der Standort.
Auf den Smart-TVs landet die Ransomware über die üblichen Wege. Also etwa beim Anklicken eines Links, der in einer Spam-Mail gesendet wurde.
Trend Micro empfiehlt den betroffenen Smart-TV-Besitzern den Hersteller des Geräts zu kontaktieren. Ein anderer Weg, um den Erpresserschädling wieder loszuwerden, sei, das ADB-Debugging auf dem Gerät zu aktivieren, wenn das überhaupt noch möglich ist. Anschließend könne dann über ein PC eine ADB-Verbindung zum Gerät hergestellt und dann die Ransomware gelöscht werden. Dabei genüge oft der Befehl "PM clear %pkg%" in der ADB-Shell.
Grundsätzlich sollten alle Nutzer keinerlei Links anklicken, die von einem unbekannten Absender stammen. Außerdem sollten die Android-Geräte immer mit einer aktuell gehaltenen Sicherheitssoftware geschützt werden.
Quelle: pcwelt
