Android-Trojaner verändert PIN und sperrt Nutzer aus
Eine Malware sperrt Android-Geräte mit einem neuen Ansatz, indem sie die PIN verändert. Sie erpresst Nutzer und nistet sich tief im System ein.
In den USA verbreitet sich der erste Android-Trojaner, der die Sperr-PIN des Benutzers setzen und verändern kann. Das berichten Sicherheitsforscher von Eset. Aktuell soll sich "Android/Lockerpin.A" ausschließlich in App Stores von Dritt-Anbietern und Foren finden.
Der Trojaner erschleicht sich Admin-Rechte, um sich tief im System zu verankern. Ein Hinweis, der wie ein Update-Prozess von Google aussieht, verdeckt dabei das Fenster zum Hochstufen der Rechte. Lässt der Nutzer die vermeintliche Update-Installation zu, räumt er im gleichen Moment dem Trojaner unwissentlich Admin-Rechte ein, erläutern die Sicherheitsforscher.
Trojaner erpresst und blockiert Antiviren-Lösungen
Anschließend fordere eine vermeintlich vom FBI verfasste Mitteilung den Nutzer auf, 500 US-Dollar zu zahlen. Geschehe dies nicht, bleibe das Gerät gesperrt. Versuche der Nutzer, die Malware zu entfernen, generiere diese eine neue PIN. Zudem soll sie die Antiviren-Lösungen von Avast, Eset Mobile Security und Dr. Web erkennen und versuchen zu blockieren.
Eset zufolge können Nutzer "Android/Lockerpin.A" ohne ein Rooten des Gerätes nicht loswerden. Erst dann soll es möglich sein, die Datei mit der PIN zu löschen, um die Sperre aufzuheben. Andernfalls helfe nur das komplette Zurücksetzen des Gerätes.
Entfernen über Debug-Modus nicht möglich
Bisher haben Android-Trojaner Geräte gesperrt, indem sie in Form eines dauerhaft eingeblendeten Fensters den Zugriff auf den Sperrbildschirm verhinderten. Derartige Trojaner lassen sich in der Regel vergleichsweise einfach über den Debug-Modus oder den Safe Mode entfernen.
[UPDATE, 13.09.2105 13:00 Uhr]
Beschreibung, wie sich der Trojaner Admin-Rechte verschafft, präzisiert. (des)