Smartphones » Erpresserschädling auf Android-Geräten

Erpresserschädling auf Android-Geräten

27.06.2013

Der Android-Schädling Fakedefender gibt sich zunächst als Antivirusprogramm aus und zeigt vorgebliche Virenfunde an. Später mutiert er zur Erpresser-Malware und blockiert das Smartphone, um Lösegeld zu erpressen.
© Symantec

Android-Malware wird vielfältiger und komplexer. Immer mehr Malware-Typen, die unter Windows längst bekannt sind, tauchen auch auf Android-Geräten auf. Dazu zählen inzwischen Scareware und Ransomware (Erpresserschädlinge). Der Antivirushersteller Symantec hat kürzlich eine Kombination aus diesem beiden Malware-Typen entdeckt.

Joji Hamada berichtet im Security Response Blog über das als "Android.Fakedefender" bezeichnete Trojanische Pferd. Er demonstriert in einem Video dessen Installation und Vorgehensweise. Der Schädling ist als legitime App für kostenlose Telefonate getarnt und wird in einem App-Portal (nicht Google Play) angeboten. Bei der Installation wird eine neue Verknüpfung zur einer App "Android Defender" angelegt.

© Symantec

Wird der Android Defender gestartet, fragt die App, ob ein "device administrator" aktiviert werden soll. Damit würden dem Schädling umfangreiche Berechtigungen eingeräumt, sodass er nur schwer wieder zu entfernen wäre. Tippt der Benutzer vorsichtshalber auf "Cancel" (abbrechen), startet ein vorgetäuschter System-Scan des falschen Schutzprogramms. Es zeigt mehrere vorgebliche Schädlingsfunde an und benutzt dabei existierende Verzeichnispfade auf der SD-Karte.

Der Benutzer wird nun, wie bei Scareware üblich, aufgefordert die Vollversion des Android Defender zu erwerben, die knapp 100 Dollar kosten soll. Bestätigt der Benutzer, dass er die Software kaufen will, erscheint ein Hinweis, es bestehe keine Internet-Verbindung sowie die Frage, ob man die (ursprünglich abgeschaltete) WLAN-Funktion einrichten wolle. Tatsächlich hat Fakedefender den WLAN-Zugriff bereits eingeschaltet. Bricht man den Vorgang an dieser Stelle ab und beendet die App, bleibt die WLAN-Verbindung eingeschaltet.

Die Fakedefender-Malware enthält Fehler und zeigt auf vielen Geräten Inkompatibilitäten - das Betriebssystem stürzt ab und startet neu. Nach dem Neustart wird jede Aktion des Benutzers mit Warnmeldungen der Malware quittiert. Beim Betätigen des Home-Buttons stürzt das System erneut ab. Danach ist die Installationsdatei (APK-Datei) des Schädlings gelöscht, der Zugriff auf die App blockiert.

Mehr lesen

Übersicht: Kaufberatungen auf einen Blick
Übersicht: Alle Bestenlisten im Überblick

Beim nächsten Start des Geräts warnt der Schädling vor Malware, die angeblich versucht Daten zu stehlen. Zum "Beweis" zeigt Fakedefender zwei Pornobilder an, die er angeblich auf dem Gerät gefunden habe. Wiederum wird der Benutzer genötigt die Vollversion zu erwerben. Der einzige Weg, um die Fakedefender-App zu schließen, ist der Home-Button. Doch dann kommt wieder die vorherige Pornowarnung zum Vorschein. Alle Versuche den Schädling loszuwerden schlagen fehl. Es erscheint immer wieder nur die Warnmeldung - das Gerät ist nun komplett blockiert.

Wer sich vor derlei Unbill schützen will, sollte einen Bogen um fragwürdige App-Portale machen und Apps nur bei Google Play herunter laden. Schutz-Software, die viele Schädlinge bereits vor der Installation erkennt, gibt es für Android inzwischen reichlich.


Quelle des Berichtes: http://www.pc-magazin.de/news/erpressers...dium=newsletter


Grüße
sunny78