Malware tarnt sich als Sicherheits-Software

Der Antivirenspezialist Symantec warnt vor der neu entdeckten Schad-App Android Defender. Die Android-App tarnt sich als harmloses Programm. Nach der Installation hat man auf seinem Gerät aber nicht die eigentlich gewünschte App, sondern eine Testversion der angeblichen Sicherheits-App Android Defender. Die Schad-App blockiert das gesamte Gerät.

Die App Android Defender startet und durchsucht das Gerät. Dabei zeigt die App tatsächlich auf der Speicherkarte des Geräts vorhandene Dateipfade an. Anschließend erscheint eine Liste mit angeblich auf dem Gerät gefundenen Schädlingen.

Dabei handelt es sich um so genannte Ramsomware: Der Android Defender täuscht den Virenbefall nur vor. Die Warnmeldungen und die falsche Sicherheits-App lassen sich aber erst entfernen, wenn der Anwender die Vollversion des Android Defender installiert — und die kostet mit rund 100 US-Dollar ordentlich Geld.

Es erscheint ein Menü, über das man die Kaufversion der Software erwerben kann. Das lässt sich aber abwählen und die App beenden.

Zu diesem Zeitpunkt hat die App bereits automatisch alle ausgeschaltetem Datenübertragungsfunktionen für das Mobilfunknetz und WLAN auf dem Gerät selbstständig aktiviert. Im Benachrichtigungsbereich von Android erscheint nun ständig der falsche Warnhinweis „Warning Virus detected!“.

Anscheinend ist der Android Defender aber schlampig programmiert: Auf einem Testgerät von Symantec stürzte gleich das gesamte Android-System ab. Doch nach einem Neustart war die App wieder da und ließ sich nicht deinstallieren. Auch das Öffnen anderer Apps schlug fehl: Man erhält stattdessen immer den Hinweis, dass man die Kaufversion erwerben muss.

Nach einiger Zeit erhält man sogar den Hinweis, dass eine angeblich installierte Malware pornografisches Material auf dem Gerät klaut. Zudem zeigt die App eindeutige Bilder.

In wenigen Fällen kann man Glück haben und die App lässt sich entfernen, da sie aufgrund der fehlerhaften Programmierung selbst immer wieder abstürzt. In allen anderen Fällen lässt sich der Android Defender nur entfernen, indem man das Android-Gerät komplett zurücksetzt und alle Daten und Einstellungen löscht.

Weitere Details zu diesem neuen Schädling, den Symantec „Android.Fakedefender“ nennt, hat das Unternehmen in seinem Weblog zusammenfasst. Weitere Informationen gibt es auch in Symantecs Virendatenbank. Ein englischsprachiges Video erklärt die Funktionsweise des Android Defender.

Bei dieser App handelt es sich um so genannte Ramsomware. Dabei handelt es sich um Schad-Software, die einen Computer, ein mobiles Gerät oder darauf gespeicherte Daten sperrt und dann Geld fordert für die Freigabe.

Anders als bei fast allen aktuellen Trojanern, die im Verborgenen ihr Werk verrichten, bemerkt der Anwender eine Infektion mit Ransomware meist sofort.

Um wieder Zugriff zu erhalten, soll der Anwender einen Freischalt-Code beziehungsweise ein Entschlüsselungs-Tool kaufen. Der Name Ransomware leitet sich vom englischen Wort „ransom“ ab. Es bedeutet so viel wie erpressen.

Derzeit ist die Gefahr noch gering, dass man sich versehentlich den Android Defender installiert. Google Play, der offizielle App-Store für Android, prüft alle Apps, bevor sie freigeschaltet werden. Gefährlicher sind hingegen alternative App-Stores.

Auch wenn Ramsomware für Android-Geräte noch nicht weit verbreitet ist: Es ist sicher nur eine Frage der Zeit, bis diese sich auf Android-Systemen weiter verbreiten. Und vielleicht schafft es doch einmal eine Ramsomware in Googles App-Store.