Ransomware sperrt Android-Smartphones

Das Smartphone ist gesperrt, pornographische Bilder sollen aufgetaucht sein. Die Testversion des Antivirenprogramms möchte endlich Vollversion werden und dafür Geld sehen. Ransomware, Erpressungstrojaner, machen es sich auch unter Android gemütlich.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 254 Beiträge
Von
  • Kristina Beer

Trojaner, die sich als Antivirensoftware tarnen, den Desktop sperren und Lösegeld für die Freischaltung erpressen, bedrohen nun auch Android-Smartphones. Symantec hat abseits des Google Play Stores ein Exemplar entdeckt, das – ebenso wie der BKA-Trojaner – auch pornographische Inhalte für die Erpressung einsetzt. Der Schädling nistet sich tief im System ein und hört auch nach der Zahlung des Lösegeldes nicht auf zu nerven. Im Jargon für Desktop-PCs schimpft sich diese Schädlingsgattung Ransomware.

Der Android Defender präsentiert sich nach der Installation mit diesem Icon.

(Bild: Symantec)

Die Android-Ransomware verkauft sich zunächst als "Free Calls Update". Wird die Installation angestoßen, hat man es mit einer "Probeversion" des Android.Defender zu tun (siehe Video). Der Trojaner hat mit einigen Geräten seine Schwierigkeiten, landet er aber auf einem Smartphone, mit dem er besser kompatibel ist, startet er seine Betrugsroutine.

Der Trojaner möchte seine Rechte ausweiten.

(Bild: Symantec )

Zunächst versucht die App sich als Geräteadministrator zu registrieren, was einer Rechteausweitung gleichkommt. Werden diese Rechte gewährt, lässt sich der Schädling nur schlecht entfernen. Lehnt man die Rechteausweitung ab, weiß Android Defender sich aber auch zu helfen und verschleiert sein Tun so gut es geht und nimmt vermutlich Kontakt zu seinen Betreibern auf: Während dem Nutzer im Vordergrund ein Systemscan vorgespielt wird, aktiviert der Trojaner im Hintergrund selbstständig eine Internetverbindung. Zu seiner Tarnung entfernt er seine APK-Installationsdatei, damit tatsächliche Antivirensoftware ihn nicht aufspüren kann.

Bedrohliches geht auf ihrem Smartphone vor!

(Bild: Symantec )

Nach dem vorgespielten Systemscan zeigt Android Defender mehrere Bedrohungen an. Dafür pickt sich der Schädling tatsächlich vorhandene Verzeichnisnamen heraus. Nun kann sich der Nutzer dafür entscheiden, die Vollversion des Defenders zu kaufen und so die Bedrohungen zu entfernen oder dies bleiben zu lassen.

Die Vollversion schützt nicht vor nervigen Pop-ups, allerdings wohl vor der Porno-Erpressung.

(Bild: Symantec )

Lehnt der Nutzer fortwährend ab, greift der Trojaner tiefer in die Trickkiste. Er kontert die fortlaufende Ablehnung mit einer Sperre, wie sie auch BKA-Trojaner einsetzen. So gibt der Defender an, dass Malware versucht haben soll pornographische Inhalte, die auf dem Smartphone liegen sollen, zu stehlen. Reagiert der Nutzer auch nicht auf diese Anzeige, kann keine andere App mehr gestartet werden. Alle Dienste auf dem Smartphone werden vom Android Defender blockiert. Sind Nutzer schon nach der ersten Zahlungsaufforderung eingeknickt, wird das Smartphone zwar von der Sperre verschont, nervende Pop-ups scheinen aber auch dann nicht auszubleiben.

Die Vollversion ist nicht gerade günstig.

(Bild: Symantec )

Wie Symantec erklärt, komme potentiellen Opfern dieser Malware zugute, dass der Trojaner Kompatibilitätsprobleme hat, weshalb die Software Abstürze verursacht. Nutzer können den Trojaner so im Zweifelsfall noch früh genug entfernen. Hat sich der Android Defender als Geräteadministrator schon häuslich eingerichtet, hilft oftmals nur das Betriebssystem komplett neu aufzuspielen.

Der Schädling lauert, wie so oft, nicht in Google Play, sondern wird in anderen Quellen, wie alternativen App-Katalogen, Foren oder Tauschbörsen angeboten. Um solche Apps aus nicht vertrauenswürdigen Quellen zu installieren, muss man das sogenannte Sideloading aktivieren. Wer nur Apps von Google Play installiert, hat wenig zu befürchten. (kbe)