Denn im Gegensatz zu bisher bekannter Erpressersoftware, sogenannter Ransomware, nutze der Android-Trojaner keine Sicherheitslücken aus, sondern setze eine Installation durch den Nutzer voraus. Der Schädling ködere den Nutzer dazu mit dem Versprechen auf anrüchige Filme. Um diese sehen zu können, müsse der Anwender aber zunächst einen Treiber installieren, erläutert Bitdefender die Vorgehensweise von Koler.A. Der Trojaner selbst sei in legitim wirkenden Apps aus alternativen Stores versteckt und könne daher auch nur aktiviert werden, wenn das Installieren von Android-Apps außerhalb Googles Play Store auf dem jeweiligen Gerät zugelassen sei.
Erst einmal installiert, gibt sich der Schädling als Nachricht einer offiziellen örtlichen Behörde aus. Dazu ortet die Ransomware mithilfe der GPS-Informationen das Herkunftsland des Nutzers und sammelt die IMEI-Nummer des befallenen Geräts. Wie Screenshots von Bitdefender belegen, gibt Koler.A in den USA beispielsweise vor, vom FBI zu stammen. In Deutschland sähen Betroffene eine gefälschte Nachricht des Bundeskriminalamts und des Bundesamts für Sicherheit in der Informationstechnik, berichtet der Branchendienst golem.de.
Trojaner fordert 300 US-Dollar Lösegeld
In dieser heißt es, dass der Nutzer verbotenes pornografisches Material angeschaut habe. Das Gerät sei daher gesperrt worden und alle darauf befindlichen Daten verschlüsselt. Um Gerät und Daten wieder freizugeben, müssten Nutzer einer Zahlungsaufforderung nachkommen und 300 US-Dollar (215 Euro) über einen nicht nachverfolgbaren Bezahldienst wie Paysafecard oder uKash überweisen, erläutert Bitdefender.
Schädling lässt sich entfernen
Wie der Sicherheitsspezialist weiter ausführt, hat der Schädling die Dateien jedoch keinesfalls verschlüsselt und könne sogar einfach relativ einfach wieder vom Gerät entfernt werden. Besonders schnelle Nutzer könnten die App entweder binnen des nur wenige Sekunden großen Zeitfensters zwischen dem Berühren des Home-Buttons und dem Auftauchen des Warnhinweises deinstallieren oder das Gerät im Safe-Modus starten. Die Schadsoftware sei dann nicht aktiv und könne deinstalliert werden.
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.