Erpressung mit Kinderpornos: Exploit-Kit Angler verteilt Android-Trojaner
Ein Virenforscher hat einen perfiden Schädling entdeckt, der Android-Nutzer mit kinderpornografischem Material zu erpressen versucht. Er wird bereits über das verbreitete Exploit-Kit Angler verteilt.
- Ronald Eikenberg
Im Netz kursiert ein Android-Trojaner, der sein Opfer mit kinderpornografischen Inhalten konfrontiert und zu erpressen versucht. Eine Malware dieser Art wurde bereits vor rund einem halben Jahr gesichtet, damals hatte es sich jedoch noch um einen Testballon mit geringer Verbreitung gehandelt. Der aktuelle Schädling ist deutlich weiter entwickelt, er soll über Anzeigencode von dem Exploit-Kit Angler verteilt werden. Erkennt Angler einen Android-Browser, startet es unter falschem Vorwand den Download der Schad-App.
PornDroid
Entdeckt hat den Trojaner ein Virenforscher mit dem Pseudonym Kafeine. Seiner Analyse zufolge scheint der Schädling keine Sicherheitslücken auszunutzen. Man muss das APK selbst installieren – in dem Glauben, es handele sich um eine App namens "PornDroid". Die App versucht sich als Geräteadminstrator zu registrieren und lockt dabei mit "Android extra performance". Wer der Versuchung erliegt, wird mit einer Reihe von Video-Miniaturansichten von kinderpornografischem Material konfrontiert. Die Grafiken sind mit Videos verlinkt, die laut Kafeine tatsächlich auf dem Server der Angreifer existieren.
Beweismaterial
Anschließend sperrt die App den Zugriff auf das Android-Gerät und zeigt ein Dokument an, in dem das FBI den Nutzer angeblich beschuldigt, "verbotene pornografische Webseiten" besucht zu haben. Ferner heißt es, dass ein Foto vom Gesicht des Nutzers an einen FBI-Server übertragen wurde. Laut Kafeine ist die Malware-App tatsächlich dazu in der Lage, die Kamera des Android-Geräts anzusprechen. Die zuvor heruntergeladenen Pornobilder zeigt der Schädling als Beweismaterial an, dazu präsentiert er einen Auszug aus dem Browser-Verlauf des Nutzers.
Lösegeld
Freikaufen kann man sich angeblich für 500 US-Dollar, die über im Supermarkt erhältliche Bezahlkarten zu entrichten sind. Selbstverständlich ist davon abzuraten, dieser Aufforderung nachzukommen – nicht zuletzt, weil man davon ausgehen muss, nach der Zahlung nicht mehr von den Erpressern zu hören. Wie man den Schädling wieder los wird, ist derzeit noch unklar.
Der Trojaner wird derzeit laut dem Bericht nur an Android-Nutzer aus den USA verteilt, das kann sich aber schnell ändern. In anderen Ländern versucht das Exploit-Kit auf den gleichen Seiten offenbar einen gefakten Virenscanner (Rouqe-AV) zu verteilen. Dabei wird sogar das Logo des deutschen Virentestlabors AV-Test missbraucht. (rei)