Erpressungs-Trojaner für Android: So können Sie sich vor dem Online-Betrug schützen

Koler.A: Die deutsche Erpressungsseite des Android-Trojaners.
Screenshot: Malware don't need Coffee Im sogenannten Darknet tummeln sich Kriminelle, die nichts unversucht lassen, andere Menschen um ihr Geld zu betrügen. Jetzt ist ein Toolkit aufgetaucht, mit dem Kriminelle einen Erpressungs-Trojaner erstellen können, der dem BKA-Trojaner ähnelt. Die Zielplattform: Android. Der Name: Koler.A.

Trojaner-Baukasten für Kriminelle

Koler.A: Die deutsche Erpressungsseite des Android-Trojaners.
Screenshot: Malware don't need Coffee Häufig nutzen die Entwickler von Trojanern die Möglichkeiten ihrer eigenen Software nicht selbst aus, sondern lizenzieren sie an andere Interessenten. Diese können dann auf einen vollständigen Baukasten zurückgreifen, ohne selbst das technische Know-How zu besitzen, wie Schwachstellen in den Systemen ihrer Opfer zu attackieren sind.

So funktioniert der Android-Erpressungs-Trojaner

Das jetzt bekannt gewordene Toolkit mit dem Namen Koler.A ähnelt dem BKA-Trojaner, der es im Sommer 2012 zu trauriger Berühmtheit geschafft hat. Die Zahlungsauforderung auf Englisch.
Screenshot: Malware don't need Coffee Die Erpresser locken den Nutzer zunächst auf eine Webseite, die versucht, den Trojaner zu installieren. Wer mit einem Desktop-Browser auf die Seite der Kriminellen gelockt wird, fällt sofort in die Hände der Desktop-Kidnapper, denn der angebotene Trojaner-Baukasten unterstützt mehrere Plattformen.

Damit der Trojaner auf dem Smart­phone Wirkung entfalten kann, muss der Nutzer selbst aktiv werden. Denn im Gegensatz zur Windows-Version installiert sich der Trojaner nicht selbständig. Stattdessen wird von der Webseite zunächst der Download einer Android-Anwendung ausgeführt. Diese offeriert vermeintlich Zugang zu Porno-Seiten oder kostenlosen Spielen. Hat der Nutzer die App installiert, sperrt der Trojaner den Nutzer von seinem Smart­phone aus - einzig der Homescreen ist noch zu erreichen. Das geschieht allerdings erst, wenn die App manuell aufgerufen hat oder aber das Smart­phone neu gestartet wird. Der Trojaner zeigt eine Hinweisseite an, auf der dem Anwender Urheberrechtsverstöße und Besitz von Kinderpornographie vorgeworfen wird. Sogar auf Staatsgeheimnisse soll das Erpressungsopfer zugegriffen haben - laut der Hinweistafel.

Koler.A: Die amerikanische Erpressungsseite des Android-Trojaners.
Screenshot: Malware don't need Coffee Was nun folgt, ist vom BKA-Trojaner hinlänglich bekannt: Gegen eine Geldzahlung kann sich der Nutzer sein Smart­phone wieder entsperren lassen. Ob dies tatsächlich erfolgt, ist ungewiss. Auf dieses Angebot eingehen sollten Anwender aber unter keinen Umständen: Denn das bezahlte Geld ist in jedem Fall verschwunden.

Interessant ist, dass die Methoden raffinierter werden. Koler.A verfügt über Erpressungseiten für 31 Länder - der Warntext selbst ist in die jeweilige Landessprache übersetzt - Zahlen und Referenzen auf Gesetze sind jedoch überall identisch. Sie unterscheiden sich aber in ihrer grafischen Aufbereitung. Während Amerikaner von Obama begrüßt werden, sehen deutsche Opfer Angela Merkel in der Kopfzeile.

So schützen Sie sich

Die empfohlenen Einstellungen für die Installation von Apps. Zu finden sind sie in der Rubrik Sicherheit in der Systemsteuerung.
Screenshot: teltarif.de Es gibt bei Android zwei Hausmittel, mit denen die Bedrohung durch einen solchen Trojaner ins Leere geht: Zunächst kann die Installation von Apps aus nicht vertrauenswürdigen Quellen verhindert werden. Dann kommen Apps nur noch über den Play Store auf das Android-Smartphone. Auf neueren Android-Versionen können Nutzer eine zusätzliche Schutzebene einziehen: Zu installierende Apps lassen sich verifizieren. Die Funktion sendet diverse Informationen über die Installations-Datei an Google - dort wird überprüft, ob es sich um eine bekannte Schadsoftware handelt. Gegebenenfalls erhält der Nutzer eine Warnung. Vollständige Sicherheit bietet dies nicht - wer jedoch nicht zu den ersten Opfern einer böswilligen App gehört, sollte eine zumindest ein Alarmsignal von Google erhalten.