Der BKA-Trojaner lauert auf Sex- und Filesharing-Seiten, und er macht auch Android-Nutzern vermehrt das Leben schwer. Eine neue Version des wohl am meisten installierten Schadprogramms lässt sich in vielen Fällen nur durch einen Werksreset wieder vom Gerät entfernen.
Der BKA-Trojaner (nicht zu verwechseln mit dem Staatstrojaner) hat seinen Namen daher erhalten, da er einen Sperrbildschirm anzeigt, der angeblich vom BKA stammt und dort um die Überweisung einer kleineren oder größeren Summe bittet. Zum ersten Mal im Frühling 2014 für Android unterwegs, gibt es jetzt eine neue Welle, die sich zudem nicht mehr so einfach überlisten lässt, wie die ursprüngliche Version. Denn wenn in unserem Postfach innerhalb von zwei Tagen gleich vier Mails zum Thema auftauchen und unser Artikel zum Thema „Apps deinstallieren, die sich nicht löschen lassen“ auf einmal Tausend neue Leser bekommt, dann bedeutet das, dass in der freien Wildbahn deutlich mehr Benutzer betroffen sind!
Worum geht´s?
Es gibt Apps und Windows-Anwendungen, die sich nach der Installation über den Bildschirm legen und diesen erst wieder freigeben, wenn der Nutzer einen bestimmten Betrag auf ein bestimmtes Konto überwiesen hat. Ransomware nennt man das, und es ist inzwischen eines der Lieblingsvorgehen von Malware-Programmierern. Eines dieser Ransomware-Programme nennt man BKA-Trojaner und es trat laut Google-Resultaten so Anfang bis Mitte 2013 zum ersten Mal unter Windows in Aktion. Seit April oder Mai 2014 ist eine entsprechende App, die die gleichen Erpressermechanismen nutzt auch unter Android verbreitet. Die Malware-Firmen nennen sie Koler.A. Diese „alte“ Version des BKA-Trojaners für Android lässt sich aber recht einfach entfernen, indem man das Handy in den abgesicherten Modus bootet und von dort aus die App löscht.

(Leserbild)
Dieser Trick funktioniert nun aber mit der neuen, Android User mehrfach gemeldeten Version nicht mehr, weil sich die App hier so als Geräteadministrator einbettet, dass sie sich ohne Root-Rechte bzw. ohne Zugriff von einem PC aus über ADB nicht mehr aus dem System entfernen lässt. Das ist für die Betroffenen nicht angenehm und das Problem lässt sich — laut unseren aktuellen Ermittlungen — nur via Werksreset lösen.
Auch ohne BKA-Trojaner: Zwei weitere Leser berichteten uns letzte Woche von Schadsoftware, die sich ebenfalls als Geräteadmin einträgt, die aber keinen Sperrbildschirm installiert. Hier gelang es den Nutzern, die Schadsoftware mit dem Hidden Device Admin Detector von Trend Micro zu löschen.
Wie funktioniert das?
Die neue Schadsoftware nutzt eine Sicherheitslücke in Android 4.2 und älter aus, durch die sich Apps als Geräteadministrator derart eintragen können, dass man sie als Nutzer anschließend nicht mehr entfernen kann. Kaspersky meldete diesen Schädling unter der Bezeichnung obad.a erstmals im Juni 2013. Es gibt zwar inzwischen Sicherheits-Apps im Play Store, die solche Apps erkennen und löschen, doch in Kombination mit dem Sperrbildschirm zusammen lässt sich meistens nicht mehr viel machen. Wir haben remote ein paar Möglichkeiten durchgespielt, um den BKA-Trojaner bei den betroffenen Nutzern ohne Custom-Recovery und ohne USB-Debugging gelöscht zu bekommen, hatten dabei aber keinen Erfolg. Die einzige Möglichkeit, ohne Werksreset wieder ans Handy heranzukommen, besteht aktuell darin, ein Custom Recovery zu installieren, das eine Root-Shell bietet und so über einen (Linux-) Rechner die Dateien des BKA-Trojaners zu löschen. Dazu ist aber — je nach Gerät — ein entsperrter Bootloader und Zugriff via USB-Debuging notwendig. Also kein Spaß.
Wer den BKA-Trojaner im abgesicherten Modus nicht löschen kann, muss wohl oder übel einen Werksreset durchführen. Das funktioniert bei allen Herstellern nicht nur über das entsprechende Menü in den Android-Einstellungen, sondern auch über eine ganz spezielle Tastenkombination beim Einschalten des Handys. Üblicherweise hält man dazu die Leiser- oder Lauter-Taste gedrückt, während man den Power-Button betätigt. Das konkrete Vorgehen ist aber von Hersteller zu Hersteller leicht unterschiedlich und in der technischen Dokumentation zum Handy zu finden oder direkt beim Hersteller zu erfragen.
Wer ist betroffen?
Laut unseren aktuellen Informationen vorwiegend Benutzer eines Handys oder Tablets mit Android 4.2 und älter. Es treten aber auch zunehmend Fälle mit Android 4.4 auf! Zudem ist inzwischen nicht mehr sicher, ob man den Schädling selbst installieren muss oder es sich nicht doch um ein Update einer Schadsoftware über den Play Store handelt, da einige Leser sich ganz sicher sind, keine Apps aus unbekannten Quellen installiert zu haben. Neben Porno-Seiten wurde uns der Schädling auch von Filesharing-Seiten und MP3-Download-Seiten gemeldet, es müssen also nicht nur Jungs zur Risikogruppe gehören…
Wenn alles nichts hilft…
…dann gibt es zwei Lösungen:
1) Das Gerät auf die Werkseinstellungen zurücksetzen. Dazu schaltest du dein Handy aus und hältst beim Einschalten die Leiser-Taste gedruckt (bei Samsung den Home-Button und die Leiser-Taste). Es erscheint dann das Bootmenu deines Androiden. Hier wählst du die Option „Recovery“ aus. Beim Zurücksetzen werden alle Daten auf dem Handy gelöscht. Die MicroSD-Karte bleibt üblicherweise unangetastet. Zur Sicherheit empfiehlt Android User aber, die MicroSD-Karte vor dem Zurücksetzen aus dem Gerät zu entfernen.
2) Anscheinend lässt sich die Schadsoftware nur dann nicht entfernen (auch nicht im abgesicherten Modus), wenn sie die einzige App mit dem Status Geräteadministrator ist. Markiere einfach noch den Android Geräte-Manager von Google oder eine andere App, die als Geräte-Administrator arbeiten kann (zum Beispiel Antiviren-Sofware), als Geräteadmin, sodass zwei markiert sind. Nach einem Neustart im abgesicherten Modus lässt sich die Checkbox dann bei der Schadsoftware entfernen und du kannst die App löschen. Danke an unseren Facebook-Leser Fritz Kuehne für diesen Tipp!
Android User meint…
Klar kann man die Sache einfach mit „selber schuld“ abtun, denn ziemlich sicher hat bei 99 Prozent aller Fälle einfach brain.apk nicht funktioniert, weil dem Hirn im entsprechenden Moment nicht genügend Blut zur Verfügung stand. Doch der Fall zeigt einmal mehr, wie wichtig es ist, dass Hersteller ihre Smartphones updaten. Denn die Sicherheitslücke mit den Geräteadministrator ist schon über ein Jahr alt. Wenn die Entwickler zudem noch eins drauflegen und die App mit Rootkits ausstatten, um so an Root-Rechte zu gelangen und einen Hardreset zu überleben, dann wird es nicht mehr angenehm.
Fakt bleibt aber auch, dass auch „der neue BKA-Trojaner“ weiterhin von Hand installiert werden muss. Ohne Zutun des Nutzers lässt sich keine App installieren, also auch keine Malware. Insofern gibt es weiterhin keinen Grund zur Panik, wenn du die Installation aus fremden Quellen deaktiviert lässt und dich nur im Play Store bedienst.
