Erpressung mit Kinderpornos: Exploit-Kit Angler verteilt Android-Trojaner

Ein Virenforscher hat einen perfiden Schädling entdeckt, der Android-Nutzer mit kinderpornografischem Material zu erpressen versucht. Er wird bereits über das verbreitete Exploit-Kit Angler verteilt.

In Pocket speichern vorlesen Druckansicht 136 Kommentare lesen
Exploit-Kit Angler verteilt Android-Trojaner
Lesezeit: 2 Min.
Von
  • Ronald Eikenberg
Inhaltsverzeichnis

Im Netz kursiert ein Android-Trojaner, der sein Opfer mit kinderpornografischen Inhalten konfrontiert und zu erpressen versucht. Eine Malware dieser Art wurde bereits vor rund einem halben Jahr gesichtet, damals hatte es sich jedoch noch um einen Testballon mit geringer Verbreitung gehandelt. Der aktuelle Schädling ist deutlich weiter entwickelt, er soll über Anzeigencode von dem Exploit-Kit Angler verteilt werden. Erkennt Angler einen Android-Browser, startet es unter falschem Vorwand den Download der Schad-App.

Die Malware-App lockt Android-Nutzer unter anderem mit dem Versprechen, ds Gerät schneller und sicherer zu machen.

(Bild: Malware don't need Coffee)

Entdeckt hat den Trojaner ein Virenforscher mit dem Pseudonym Kafeine. Seiner Analyse zufolge scheint der Schädling keine Sicherheitslücken auszunutzen. Man muss das APK selbst installieren – in dem Glauben, es handele sich um eine App namens "PornDroid". Die App versucht sich als Geräteadminstrator zu registrieren und lockt dabei mit "Android extra performance". Wer der Versuchung erliegt, wird mit einer Reihe von Video-Miniaturansichten von kinderpornografischem Material konfrontiert. Die Grafiken sind mit Videos verlinkt, die laut Kafeine tatsächlich auf dem Server der Angreifer existieren.

Die Viren-App hat mehrere Menüpunkte, auf denen unter anderem das zuvor heruntergeladene Bildmaterial als Beweis angeführt wird.

(Bild: Malware don't need Coffee)

Anschließend sperrt die App den Zugriff auf das Android-Gerät und zeigt ein Dokument an, in dem das FBI den Nutzer angeblich beschuldigt, "verbotene pornografische Webseiten" besucht zu haben. Ferner heißt es, dass ein Foto vom Gesicht des Nutzers an einen FBI-Server übertragen wurde. Laut Kafeine ist die Malware-App tatsächlich dazu in der Lage, die Kamera des Android-Geräts anzusprechen. Die zuvor heruntergeladenen Pornobilder zeigt der Schädling als Beweismaterial an, dazu präsentiert er einen Auszug aus dem Browser-Verlauf des Nutzers.

Auch ein Prism-Logo darf nicht fehlen.

(Bild: Malware don't need Coffee)

Freikaufen kann man sich angeblich für 500 US-Dollar, die über im Supermarkt erhältliche Bezahlkarten zu entrichten sind. Selbstverständlich ist davon abzuraten, dieser Aufforderung nachzukommen – nicht zuletzt, weil man davon ausgehen muss, nach der Zahlung nicht mehr von den Erpressern zu hören. Wie man den Schädling wieder los wird, ist derzeit noch unklar.

Der Trojaner wird derzeit laut dem Bericht nur an Android-Nutzer aus den USA verteilt, das kann sich aber schnell ändern. In anderen Ländern versucht das Exploit-Kit auf den gleichen Seiten offenbar einen gefakten Virenscanner (Rouqe-AV) zu verteilen. Dabei wird sogar das Logo des deutschen Virentestlabors AV-Test missbraucht. (rei)