Schadsoftware mit erpresserischer Absicht ist bislang vor allem unter Windows verbreitet. Nun zielen Kriminelle aber auch zunehmend auf Android-User ab. Ein neuer Trojaner setzt dabei einen eigenen Lock-Screen-Code, um unvorsichtige Nutzer von ihren eigenen Geräten auszusperren – und anschließend Lösegeld zu fordern.
Overlay
Interessant ist dabei vor allem die Methode, über die sich Android/Lockerpin.A versucht Device-Admin-Rechte zu sichern. Er legt nämlich ein Overlay-Fenster über die eigentliche Abfrage von Android. So wird vorgetäuscht, dass hier nur ein Schritt in der Softwareinstallation vorgenommen wird, während in Wirklichkeit Administrationsrechte vergeben werden.
Ablauf
Sind die Nutzer einmal in diese Falle gegangen, ändert der Trojaner den PIN-Code und sperrt den Bildschirm. Kurz darauf folgt dann die erpresserische Mitteilung, 500 US-Dollar Lösegeld sollen für die Freigabe des Gerätes gezahlt werden. Die Verbrecher geben sich dabei als das FBI aus, und täuschen vor, dass es sich um eine Strafe für den Besuch "verbotener pornografischer Seiten" handle.
Verbreitung
Der Entdecker dieses Trojaners, Lukas Stefanko vom Antivirenhersteller Eset, spricht in einem Blogeintrag davon, dass der Trojaner vor allem in den USA verbreitet ist. In allen bekannten Fällen versteckt er sich in einer App namens "Porn Droid", die vorgibt Zugang zu pornografischen Videos zu bieten. Konkrete Zahlen zum Umfang der Verbreitung nennt man nicht.
Keine große Gefahr
Für die breite Masse der Android-Nutzer hält sich die Gefährdung durch den Trojaner in ziemlich engen Grenzen. Die Verbreitung erfolgt lediglich über Foren und Dritt-App-Stores, wer sich ausschließlich an Googles eigenen Play Store hält, hat also auch hier nichts zu befürchten. Erfahrene Nutzer werden zudem den ungewohnten Dialog schnell als verdächtig ausmachen.
Overlay-Problematik
Interessant ist der Trojaner insofern vor allem wegen des Tricks, über den er sich Admin-Rechte besorgt. Dass es überhaupt möglich ist, solch sicherheitskritische Abfragen einfach so mit einem anderen Fenster zu überlagern, zeigt ein grundlegendes Defizit des Betriebssystems auf. Das dürfte wohl auch Google bekannt sein, ab Android 6.0 ist es nötig, die Berechtigung der Nutzer einzuholen, bevor eine App die Bildschirmanzeige überlagern darf. Damit will man die Sicherheit verbessern, ohne eine Funktion zu entfernen, die von vielen Apps für legitime Aktivitäten genutzt wird. So verwendet etwa der Facebook Messenger für seine Chat Heads diese Möglichkeiten.
Abwägungen
Das Einholen von Device-Admin-Rechten tritt bei Malware unter Android zuletzt verstärkt auf. Dies senkt zwar die Wahrscheinlichkeit, dass ein Angriff erfolgreich ist – immerhin müssen die User noch einem weiteren Schritt zustimmen und könnten misstrauisch werden – , jene die darauf hereinfallen, sind dann aber effektiv von ihren Daten ausgesperrt. In Folge hilft nur mehr ein Factory Reset, um die Sperre wieder loszuwerden. (apo, 14.9.2015)