Ein neu entdeckter Android Trojaner nennt sich „Porn Droid“ und gibt vor, ein Adult-Video-Player sein. Statt Filme zu spielen sperrt er das Smartphone und fordert 500$ Lösegeld. Beim Versuch, den Trojaner zu löschen, wählt er eine Zufalls-PIN und sperrt das Handy. Vorher aber zeigt er eine Nachricht, die vorgibt von der US-Bundespolizei FBI zu stammen. Ohne die Zahlung des Lösegeldes würde das Handy nicht mehr freigeschaltet und wäre nur nach Löschung wieder benutzbar.
Der Trojaner gibt vor, ein Player für Pornofilme zu sein und nennt sich selbst „Porn Droid“. Die Sicherheitsforscher der Firma ESET gaben ihm aber den weniger einprägsamen Namen „Android/Lockerpin.A“. Der Schädling verbreitet sich aktuell bislang vor allem in den USA über fremde App-Stores und Webseiten oder Tauschbörsen – er ist aber zum Glück nicht über den offiziellen Android App-Store von Google zu laden, sondern lässt sich erst installieren, wenn man die Sicherheitseinstellung zum Schutz vor fremder Software deaktiviert hat.
23% der „Porn Droid“ Infektionen bereits außerhalb der USA
Mittlerweile hat der Virus aber auch außerhalb der USA schon einige Geräte infiziert: 23% der Infektionen stammen nicht mehr aus den USA. Um die PIN ändern zu können, braucht der Virus zunächst Administratorrechte, die er sich mit einem Trick freischalten lässt: Bei der Frage nach Admin-Rechten verdeckt er das Fenster mit einem angeblichen Update Hinweis, damit man nicht sieht, wobei man genau zustimmt, so die Sicherheitsexperten bei ESET: Man klickt einfach unbedarft auf den „Continue“ Button und räumt dem Virus sämtliche Rechte auf seinem Handy ein.
Virus nennt sich „Porn Droid“
Der Virus verbreitet sich als „Porn Droid“ App und verspricht den Zugriff auf Pornofilme: Statt Filme abzuspielen versucht er aber, das Handy einzunehmen, Antivirus-Software auszuschalten und Lösegeld zu verdienen: Kurz nach der Installation meldet er sich dann mit der angeblichen FBI Mitteilung, dass der Nutzer mit seinem Handy illegalerweise nicht jugendfreie Webseiten über sein Handy oder Tablet geladen habe und daher, zum Freischalten, den Betrag von 500 US$ zahlen müsse: Bei einem Scan des Gerätes habe man entsprechende Hinweise auf verbotene Webseiten gefunden.
Bild: ESET / Welivesecurity.com
Der Trojaner hat zusätzlich einige Schutzfunktionen eingebaut: So sucht er nach laufenden Versionen von Android Antivirus-Programmen der Firmen ESET, DrWeb oder Avast und beendet diese. Auch das Entziehen der Administrator-Rechte ist nicht möglich, da der Virus das Einstellungsfenster mit einer eigenen Meldung überdeckt und man so keine Möglichkeiten hat, die Einstellungen zu ändern.
Wie wird man den Virus los?
Bei dem Versuch, das schädliche Programm zu löschen, soll der Virus die PIN zufällig ändern – jetzt hat man bei einem nicht gerooteten Handy keine Chance mehr, an seine Daten zu gelangen: Hier hilft dann nur noch das Rücksitzen auf die Werkseinstellungen. Hat man allerdings vorher schon ein „Root-Zugriff“ auf dem Handy eingerichtet und den USB Debug-Modus in den Einstellungen aktiviert, kann man sich mit dem Handy verbinden und die PIN-Datei löschen, um wieder Zugriff auf das Handy zu erhalten – dazu muss man die Datei „/data/system/password.key“ löschen, wie ESET unter dem Punkt „Unlocking the device“ beschreibt.
