Mobile Ransomware

Erpresserschädling auf Android-Geräten

Der Android-Schädling Fakedefender gibt sich zunächst als Antivirusprogramm aus und zeigt vorgebliche Virenfunde an. Später mutiert er zur Erpresser-Malware und blockiert das Smartphone, um Lösegeld zu erpressen.

Symantec

© Symantec

Symantec

Android-Malware wird vielfältiger und komplexer. Immer mehr Malware-Typen, die unter Windows längst bekannt sind, tauchen auch auf Android-Geräten auf. Dazu zählen inzwischen Scareware und Ransomware (Erpresserschädlinge). Der Antivirushersteller Symantec hat kürzlich eine Kombination aus diesem beiden Malware-Typen entdeckt.

Joji Hamada berichtet im Security Response Blog über das als "Android.Fakedefender" bezeichnete Trojanische Pferd. Er demonstriert in einem Video dessen Installation und Vorgehensweise. Der Schädling ist als legitime App für kostenlose Telefonate getarnt und wird in einem App-Portal (nicht Google Play) angeboten. Bei der Installation wird eine neue Verknüpfung zur einer App "Android Defender" angelegt.

Wird der Android Defender gestartet, fragt die App, ob ein "device administrator" aktiviert werden soll. Damit würden dem Schädling umfangreiche Berechtigungen eingeräumt, sodass er nur schwer wieder zu entfernen wäre. Tippt der Benutzer vorsichtshalber auf "Cancel" (abbrechen), startet ein vorgetäuschter System-Scan des falschen Schutzprogramms. Es zeigt mehrere vorgebliche Schädlingsfunde an und benutzt dabei existierende Verzeichnispfade auf der SD-Karte.

Der Benutzer wird nun, wie bei Scareware üblich, aufgefordert die Vollversion des Android Defender zu erwerben, die knapp 100 Dollar kosten soll. Bestätigt der Benutzer, dass er die Software kaufen will, erscheint ein Hinweis, es bestehe keine Internet-Verbindung sowie die Frage, ob man die (ursprünglich abgeschaltete) WLAN-Funktion einrichten wolle. Tatsächlich hat Fakedefender den WLAN-Zugriff bereits eingeschaltet. Bricht man den Vorgang an dieser Stelle ab und beendet die App, bleibt die WLAN-Verbindung eingeschaltet.

Die Fakedefender-Malware enthält Fehler und zeigt auf vielen Geräten Inkompatibilitäten - das Betriebssystem stürzt ab und startet neu. Nach dem Neustart wird jede Aktion des Benutzers mit Warnmeldungen der Malware quittiert. Beim Betätigen des Home-Buttons stürzt das System erneut ab. Danach ist die Installationsdatei (APK-Datei) des Schädlings gelöscht, der Zugriff auf die App blockiert.

Beim nächsten Start des Geräts warnt der Schädling vor Malware, die angeblich versucht Daten zu stehlen. Zum "Beweis" zeigt Fakedefender zwei Pornobilder an, die er angeblich auf dem Gerät gefunden habe. Wiederum wird der Benutzer genötigt die Vollversion zu erwerben. Der einzige Weg, um die Fakedefender-App zu schließen, ist der Home-Button. Doch dann kommt wieder die vorherige Pornowarnung zum Vorschein. Alle Versuche den Schädling loszuwerden schlagen fehl. Es erscheint immer wieder nur die Warnmeldung - das Gerät ist nun komplett blockiert.

Wer sich vor derlei Unbill schützen will, sollte einen Bogen um fragwürdige App-Portale machen und Apps nur bei Google Play herunter laden. Schutz-Software, die viele Schädlinge bereits vor der Installation erkennt, gibt es für Android inzwischen reichlich.

image.jpg

© Symantec

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…