Een nieuw ransomware-exemplaar voor Android doet zich voor als de beruchte WannaCry-ransomware door een soortgelijk versleutelscherm te laten zien, zo meldt het Chinese anti-virusbedrijf Qihoo360. In tegenstelling tot WannaCry moeten Androidgebruikers in het geval van WannaLocker, zoals de ransomware wordt genoemd, die zelf installeren door de beveiliging van hun toestel te verlagen.

WannaLocker wordt op Chinese gamingfora als een plug-in voor het populaire spel King of Glory aangeboden. Eenmaal actief versleutelt WannaLocker bestanden op de externe opslag van de telefoon. Iets wat sinds de Simplocker-ransomware in 2014 niet meer is gezien, aldus onderzoekers. De ransomware blijkt geen bestanden te versleutelen met de tekst "DCIM", "download", "miad", ”android" en "com.", alsmede bestanden die groter dan 10KB zijn. Om gegevens te ontsleutelen moeten slachtoffers omgerekend zo'n 5 euro betalen.

Niet alleen is de prijs lager dan andere mobiele ransomware vraagt, de aanvallers willen ook in de Chinese renminbi worden betaald in plaats van digitale valuta. Volgens onderzoeker Nikolaos Chrysaidos van anti-virusbedrijf Avast is dit riskant, aangezien het geld in tegenstelling tot digitale valuta eenvoudig is te traceren. Qihoo360 heeft inmiddels een decryptietool beschikbaar gemaakt zodat slachtoffers hun bestanden zonder te betalen kunnen terugkrijgen.

Onlangs kwam de Russische virusbestrijder Kaspersky Lab nog met het nieuws dat het in het eerste kwartaal van dit jaar een toename van mobiele ransomware voor Android had waargenomen. In een reactie tegenover Security.NL verklaart het anti-virusbedrijf dat al deze ransomware-exemplaren buiten Google Play werden aangetroffen. Net als in het geval van WannaLocker houdt dit in dat gebruikers alleen met ransomware besmet kunnen raken als ze apps vanuit onbetrouwbare bron installeren. Iets dat Android standaard niet toestaat.