Porn Droid: Android Trojaner ändert Handy-PIN und fordert 500$!

Der Android Trojaner nennt sich „Porn Droid“ und soll ein Adult-Video-Player sein. Stattdessen sperrt er das Handy und fordert Lösegeld, beim Versuch ihn zu löschen wählt er eine Zufalls-PIN und sperrt das Handy dann komplett. Der Trojaner zeigt eine Nachricht, die vorgibt von der US-amerikanischen Bundespolizei FBI zu stammen. Ohne die Zahlung des Lösegeldes würde das Handy nicht mehr freigeschaltet und wäre, ohne Rücksetzen auf die Werkseinstellungen, somit unbenutzbar.

 
Der Trojaner gibt vor, ein Player für Pornofilme zu sein und nennt sich selbst „Porn Droid“. Die Sicherheitsforscher der Firma ESET gaben ihm aber den weniger einprägsamen Namen „Android/Lockerpin.A“. Der Schädling verbreitet sich aktuell bislang vor allem in den USA über fremde App-Stores und Webseiten oder Tauschbörsen – er ist aber zum Glück nicht über den offiziellen Android App-Store von Google zu laden, sondern lässt sich erst installieren, wenn man die Sicherheitseinstellung zum Schutz vor fremder Software deaktiviert hat.

23% der „Porn Droid“ bereits außerhalb der USA

Mittlerweile hat er aber auch außerhalb der USA schon einige Geräte infiziert: 23% der Infektionen stammen nicht mehr aus den USA. Um die PIN ändern zu können, braucht der Virus zunächst Administratorrechte, die er sich mit einem Trick freischalten lässt: Bei der Frage nach Admin-Rechten verdeckt er das Fenster mit einem angeblichen Update Hinweis, damit man nicht sieht, wobei man genau zustimmt, so die Sicherheitsexperten bei ESET: Man klickt einfach unbedarft auf den „Continue“ Button und räumt dem Virus sämtliche Rechte auf seinem Handy ein.

Virus nennt sich „Porn Droid“

Der Virus verbreitet sich als „Porn Droid“ App: Anstatt aber Zugriff auf Filme zu bieten, versucht er das Handy einzunehmen, Antivirus-Software auszuschalten und Geld zu verdienen: Kurz nach der Installation meldet er sich dann mit der angeblichen FBI Mitteilung, dass der Nutzer mit seinem Handy illegalerweise nicht jugendfreie Webseiten über sein Handy oder Tablet geladen habe und daher, zum Freischalten, den Betrag von 500 US$ zahlen müsse: Bei einem Scan des Gerätes habe man entsprechende Hinweise auf verbotene Webseiten gefunden.

Bild: ESET / Welivesecurity.com

 
Der Trojaner hat zusätzlich einige Schutzfunktionen eingebaut: So sucht er nach laufenden Versionen von Android Antivirus-Programmen der Firmen ESET, DrWeb oder Avast und beendet diese. Auch das Entziehen der Administrator-Rechte ist nicht möglich, da der Virus das Einstellungsfenster mit einer eigenen Meldung überdeckt und man so keine Möglichkeiten hat, die Einstellungen zu ändern.

Wie wird man den Virus los?

Bei dem Versuch, das schädliche Programm zu löschen, soll der Virus die PIN zufällig ändern – jetzt hat man bei einem nicht gerooteten Handy keine Chance mehr, an seine Daten zu gelangen: Hier hilft dann nur noch das Rücksitzen auf die Werkseinstellungen. Hat man allerdings vorher schon ein „Root-Zugriff“ auf dem Handy eingerichtet und den USB Debug-Modus in den Einstellungen aktiviert, kann man sich mit dem Handy verbinden und die PIN-Datei löschen, um wieder Zugriff auf das Handy zu erhalten – dazu muss man die Datei „/data/system/password.key“ löschen, wie ESET unter dem Punkt „Unlocking the device“ beschreibt.