Ein neuer Erpressungstrojaner zieht auf Android seine Kreise. Die Schadsoftware, die von Check Point-Security den Namen "Charger" erhalten hat, fordert nicht nur unüblich viel Geld, sondern verbreitete sich eine Zeit lang auch über Googles Play Store.

Charger tarnt sich als Batteriespar-App, die im offiziellen Katalog für Android-Apps unter dem Namen "Energy Rescue" verfügbar war. Diese verspricht, durch allerlei Optimierungen die Laufzeit des eigenen Handys oder Tablets zu erhöhen, Nutzer berichteten allerdings davon, dass sich das Programm sofort nach dem ersten Start schloss.

Will rund 170 Euro

Wer dem vermeintlichen Hilfsprogramm zuvor die von ihm abgefragten Rechte einräumte, erlebte allerdings eine böse Überraschung, schreibt Checkpoint im eigenen Blog. Denn die Malware saugt unter anderem alle SMS-Kontakte ab, sperrt das Gerät und droht anschließend damit, alle 30 Minuten "einen Teil der persönlichen Informationen" über den "Schwarzmarkt" zu verkaufen.

Erst gegen eine Bezahlung von 0,2 Bitcoins, die laut Coinmill derzeit einen Gegenwert von fast 168 Euro haben – werde dies eingestellt. Dazu verspricht man auch, alle Daten des Opfers im Gegenzug von den eigenen Servern zu entfernen und das Gerät wieder zu entsperren.

Inwieweit die Cyberkriminellen ihren Versprechen abseits der Entsperrung tatsächlich Folge leisten, ist für Betroffene freilich nicht nachvollziehbar. Die Forderung ist für eine mobile Ransomware jedenfalls ungewöhnlich hoch. Als zusätzliche Einschüchterung wird auch erklärt, dass ein Abschalten des befallenen Gerätes sinnlos sei, da man die bereits geklauten Daten ja trotzdem noch verkaufen und für Spam, Geldkriminalität und andere Zwecke missbrauchen könne.

Vier Tage lang im Play Store

Die Macher der Ransomware haben es erfolgreich geschafft, Googles Sicherheitsschranken für den Play Store zu umgehen. Vier Tage lang soll die Fake-App mit bösartigem Beiwerk dort kurz vor Weihnachten verfügbar gewesen sein, ehe sie entfernt wurde. Zuletzt wurden ihr über eine Million Downloads ausgewiesen.

Anhand einer kurzen Suche ist feststellbar, dass das Programm aber immer noch über Downloadplattformen und alternative Appstores aus dem asiatischen Raum erhältlich ist. Letztere sind immer wieder ein bedeutender Ausgangspunkt für die Verbreitung von mobiler Schadsoftware. (gpi, 25.01.2017)