Ransomware Lockerpin blockiert Android-Geräte durch PIN-Änderung

SicherheitVirus
Ransomware (Bild: Shutterstock / Carlos Amarillo)

Die Malware Lockerpin verschafft sich durch einen Trick Rechte des Geräteadministrators und generiert eine zufällige PIN. Sicherheitsanbieter Eset empfiehlt Betroffenen ihre Geräte auf die Werkseinstellungen zurücksetzen, um den Trojaner vollständig zu entfernen.

Der Sicherheitsanbieter Eset hat vor einem Trojaner für Android gewarnt, der sich derzeit allerdings in erster Linie noch in den USA ausbreitet. Die als Lockerpin bezeichnete Schadsoftware sei in der Lage, eine PIN für die Displaysperre festzulegen oder eine PIN zu ändern. Da die Malware die PIN zufällig generiert, kann ein infiziertes Gerät, falls es nicht gerootet wurde, nur durch ein Zurücksetzen auf die Werkseinstellungen wieder entsperrt werden.

Eset Logo (Grafik: Eset)
Eset Logo (Grafik: Eset)

Laut Eset erschleicht Lockerpin sich die Rechte eines Geräteadministrators, indem das Fenster zur Aktivierung der schädlichen App als Geräteadministrator durch mehrere Fenster überlagert wird, die die Installation eines Systemupdates vorgaukeln. Genehmigen Nutzer dieses vermeintliche Update, kann Lockerpin die Geräte-PIN festlegen respektive ändern.

Der Trojaner agiert als Erpressersoftware und fordert unmittelbar nach seiner Installation wegen angeblichen Konsums illegaler Pornografie ein Lösegeld in Höhe von 500 Dollar. Unabhängig davon, ob Nutzer der Zahlung nachkommen oder Lockerpin auf einem gerooteten Gerät über den Safe Mode oder die Android Debug Bridge (ADB) deinstallieren, fragt das Gerät nach einem Neustart die von Lockerpin generierte PIN ab, was den Zugriff auf das Gerät verhindert.

Um die Entfernung zu verhindern, versucht Lockerpin, bekannte Antivirenprogramme zu deaktivieren, darunter die von Eset, Avast und Dr. Web. Im Fall seiner Mobile Security Suite bleibe es jedoch bei dem Versuch, so Eset.

Zumindest auf gerooteten Geräten lässt sich die PIN über die Android Debug Bridge zurücksetzen. Voraussetzung ist allerdings, dass Nutzer auch die Entwicklereinstellungen und darin den Punkt “USB Debugging” aktiviert haben. Andernfalls kann ein gerootetes Android-Smartphone oder –Tablet nur durch das Zurücksetzen auf die Werkseinstellungen freigeschaltet werden, was zum Verlust aller gespeicherten Daten führt.

Die meisten mit Lockerpin infizierten Geräte finden sich derzeit in den USA. Lockerpin sei ein Bespiel dafür, dass Malware-Autoren ihre Aktivitäten vermehrt von Russland und der Ukraine auf die Vereinigten Staaten verlagerten, so Eset. Die Verbreitung der Malware erfolge zudem ausschließlich über nicht vertrauenswürdige Quellen, darunter auch einige Websites mit pornografischen Inhalten.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen