Categories: MobileMobile OSSicherheitVirus

Variante der Erpresser-Malware Cryptolocker für Android entdeckt

Deutsche Version der Android-Malware "Koler.A" (Screenshot: Kafeine).

Einem Bericht von ThreatPost zufolge bietet die Cybercrime-Gruppe Reveton, die auch hinter dem BKA-Trojaner stecken soll, eine Variante der Ransomware Cryptolocker für Android an. Allerdings ist die Malware bisher nicht in der Lage, Smartphones und Tablets direkt zu infizieren. Stattdessen muss ein Nutzer davon überzeugt werden, die Schadsoftware auf seinem Gerät zu installieren.

Deutsche Version der Android-Malware „Koler.A“ (Screenshot: Kafeine).

Laut einer Analyse eines Sicherheitsforschers, der sich Kafeine nennt, wird die schädliche APK-Datei über Pornografie-Websites verteilt. „Wenn man mit Android dort landet, wird man zu einer Website weitergeleitet, die den Download der APK-Datei auf das Mobilgerät ohne Interaktion anstößt“, schreibt er in seinem Blog. Die Datei werde allerdings nicht automatisch installiert. Ein Nutzer müsse erst per Social Engineering dazu verleitet werden.

Nach der Installation des als Koler.A bezeichneten Schädlings wird der Zugriff auf das Gerät gesperrt. Statt des Home-Bildschirms wird eine Warnung angezeigt, der zufolge der Nutzer Kinderpornografie oder andere illegale Inhalte angesehen hat. Gegen eine Zahlung einer Strafe von 300 Dollar über den legitimen Dienst MoneyPak werde die Sperre wieder aufgehoben. Threatpost zufolge existieren Varianten für Nutzer in mehr als 30 Ländern, darunter Großbritannien, Frankreich, Spanien, Australien und Deutschland.

Unklar ist allerdings, ob es sich tatsächlich um eine Portierung von Cryptolocker für Android handelt oder einfach nur um ein Schadprogramm, das den Namen der bekannten Ransomware benutzt. Darüber hinaus scheint Koler.A im Gegensatz zur Desktop-Version von Cryptolocker keine Dateien zu verschlüsseln.

Bisher ist die Malware lediglich ein großes Ärgernis für Betroffene. Antivirenprogramme für Android sind noch nicht in der Lage, die Ransomware zu entfernen. Das Programm kann jedoch manuell deinstalliert werden. Allerdings hat man dafür nur fünf Sekunden Zeit. Danach übernimmt die Ransomware die Kontrolle über den Homescreen und verhindert den Zugriff auf Apps und Einstellungen.

[mit Material von Stephen J. Vaughan-Nichols, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.