Android-Trojaner ändert Geräte-PIN

Martin Schindler,
Android Patches (Bild: Shutterstock)

Lockerpin ist ein hartnäckiger Trojaner, der ein Android-Endgerät dann mit Hilfe von Administratorenrechten mit einer zufälligen neuen Geräte-PIN absperrt. Der Schädling verbreitet sich derzeit vor allem in den USA.

Das IT-Sicherheitsunternehmen Eset warnt vor einem Trojaner für Android. Lockerpin kann laut den Sicherheitsforschern eine PIN für die Displaysperre neu festlegen oder eine vorhandene PIN ändern. Da die PIN zufällig generiert wird, kann ein infiziertes Gerät, falls es nicht gerootet wurde, nur durch ein Zurücksetzen auf die Werkseinstellungen wieder entsperrt werden.

Eset demonstriert zudem eine von den Lockerpin-Entwicklern benutze Methode, über die die Malware sich die Rechte eines Geräteadministrators verschafft. Das Fenster zur Aktivierung der schädlichen App als Geräteadministrator wird demnach durch mehrere Fenster überlagert, die die Installation eines Systemupdates vorgaukeln. Genehmigt ein Opfer dieses Update, erhält Lockerpin die Berechtigung, die Geräte-PIN festzulegen und zu ändern.

Der Trojaner versucht sich dann als Erpressersoftware und fordert unmittelbar nach der Installation ein Lösegeld von 500 Dollar. Eine Zahlung der geforderten Summe allerdings scheint nicht angeraten, denn selbst wenn das Opfer der Zahlung nachkommt, oder Lockerpin wird auf einem gerooteten Gerät über den Safe Mode oder die Android Debug Bridge (ADB) deinstalliert wird. Verweigert der Schädling nach einem Neustart des Gerätes den Zugriff durch den Nutzer. Denn die das modifizierte Betriebssystem verlangt stets nach der von dem Schädling generierten PIN.

Um sich gegen eine Deinstallation zu wehren, greift Lockerpin auch gängige Antivirenprogramme an. Unter den AV-Lösungen befinden sich Eset, Avast oder auch Dr. Web. Die Lösung des tschechischen Unternehmens jedoch könne diesen Angriff abwehren, teilt das Unternehmen mit.

Lockerpin treibt vor allem in den USA sein Unwesen. (Bild: Eset)
Lockerpin treibt vor allem in den USA sein Unwesen. (Bild: Eset)

Auch auf gerooteten Geräten lässt sich die PIN eventuell über die Android Debug Bridge zurücksetzen. Voraussetzung dafür ist allerdings, dass der Nutzer auch die Entwicklereinstellungen und darin den Punkt “USB Debugging” aktiviert hat. Andernfalls kann ein gerootetes Android-Smartphone oder –Tablet nur durch das Zurücksetzen auf die Werkseinstellungen freigeschaltet werden. Dieser Schritt allerdings führt zu einem Verlust aller gespeicherten Daten führt.

Die meisten mit Lockerpin infizierten Geräte finden sich derzeit mit einem Anteil von mehr als 75 Prozent in den USA. Lockerpin sei ein Bespiel dafür, dass Malware-Autoren ihre Aktivitäten vermehrt von Russland und der Ukraine auf die Vereinigten Staaten verlagerten, so Eset weiter. Die Verbreitung der Malware erfolge zudem ausschließlich über nicht vertrauenswürdige Quellen, darunter Websites mit pornografischen Inhalten.

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de