Erpresser-Virus auf dem Smartphone

"Ihr Mobilgerät ist vorläufig aus den Gründen der Sicherheit gesperrt. Alle Tätigkeiten, die auf dem Mobilgerät durchgeführt werden, werden fixiert. Alle Ihre Daten sind verschlüsselt. Die Größe der Feinen beträgt 100 Euro. Sie können mit Hilfe Pay Safe Card zahlen. Geben Sie Ihren Code €100 Pay Safe Card an und klicken Ok.“ Wieso Sie bei dieser Nachricht auf Ihrem Handy auf keinen Fall bezahlen sollten, erklärt Ihnen ein Experte des Hessischen Landeskriminalamtes (LKA).

VerbraucherFenster-Redakteurin Barbara-Maria Birke hat mit Niklas Trottner vom LKA über diese Nachricht gesprochen, die in letzter Zeit vermehrt Handynutzer in Sorge und Angst versetzt. Der Experte sagt Ihnen, wie Sie sich hier richtig verhalten.

VF: Meine Tätigkeiten werden fixiert, meine Daten sind verschlüsselt? Was bedeutet das?

Trottner: Es deutet darauf hin, dass Sie Opfer sogenannter „Ransomware“ geworden sind. Der Zugriff auf Ihr mobiles Endgerät z.B. Smartphone oder Tablet ist gesperrt. Dies äußert sich durch einen Sperrbildschirm, der alle Eingaben unmöglich macht.

Der Sperrbildschirm besteht hierbei aus einer Nachricht, die Sie dazu auffordert eine bestimmte Summe zu bezahlen, um Ihr Gerät wieder benutzen zu können. Nicht selten geschieht dies unter dem Logo einer Behörde, wie z.B. des Bundeskriminalamtes (BKA). Daher ist auch der Name „BKA-Trojaner“ verbreitet.

VF: Muss ich die angegebene Summe zahlen?

Trottner: Nein. Hierbei handelt es sich schlicht um eine Erpressung. Die Betrüger benutzen zwar gerne offizielle Bezeichnungen wie „BKA“, „Polizei“ oder „BSI“, jedoch verbergen sich dahinter schlichtweg Kriminelle. Auch wenn Sie die Summe bezahlen, wird das betroffene Gerät häufig nicht entsperrt und das Geld ist verloren. Ein Anspruch auf eine Aufhebung der Sperrung besteht natürlich auch nicht.

VF: Aber wenn ich auf „Abrechen“ klicke, kommt, dass ich eine Straftat begangen habe…

Trottner: Diese Information wird eingeblendet, um Sie zu verunsichern und moralischen Druck aufzubauen, die geforderte Summe zu bezahlen. Die Betrüger nutzen dabei auch häufig Texte und Bilder mit Bezug zur Kinderpornografie, um die Betroffenen durch Scham oder Angst vor einer Strafverfolgung abzuhalten, die Erpressung zur Anzeige zu bringen.

VF: Also die Meldung ignorieren?

Trottner: Ja. Sie sollten den Hinweis auf eine Straftat nicht ernst nehmen. Im Falle einer Straftat eröffnen die Strafverfolgungsbehörden in Deutschland ein rechtsstaatliches Verfahren. Als Beschuldigter werden Sie hierüber ordnungsgemäß in Kenntnis gesetzt. Eine Kontaktaufnahme per Sperrbildschirm oder E-Mail ist genauso unseriös, wie die vermeintliche Möglichkeit sich frei zu kaufen zu können.

VF: Der Virus legt die Bedienung des Handys lahm. Wie kann ich mein Gerät wieder nutzen?

Trottner: Viele der gegenwärtig im Umlauf befindlichen Schadsoftware deaktivieren die Eingabemöglichkeiten, so dass sich das Gerät nur noch herunterfahren oder neustarten lässt. Um die Kontrolle über das Gerät zurück zu erlangen muss die Schadsoftware entfernt werden. Das geschieht allerdings nicht durch Bezahlung der geforderten Summe.

VF: Sondern? Wie bekomme ich diesen Virus von meinem Handy?

Trottner: Die Systematik der Ransomware wird immer ausgeklügelter. In den ersten Versionen hat sich lediglich ein Popup-Fenster über den Bildschirm gelegt, das sich einfach wegklicken ließ. Hierzu war also nur wenig technisches Know-How erforderlich.

Inzwischen steigen jedoch die Anforderungen. Manchmal lässt sich die Schadsoftware deinstallieren, wenn sie das Gerät im Safe-Modus starten.

VF: Das heißt?

Trottner: Im abgesicherten Modus. In diesem Modus werden keine Drittanbieter-Anwendungen geladen, so dass sich das unerwünschte Programm einfach wieder löschen lässt. Dazu geht man unter „Apps“ und schaut, ob eine App dabei ist, die man nicht heruntergeladen hat und löscht diese oder den Inhalt des Internet-Browser-Cache.

VF: Wenn das auch nicht hilft?

Trottner: Dann bleibt als letzter Ausweg das Gerät auf Werkseinstellungen zurück zu setzen. Hierbei werden jedoch auch alle auf dem Gerät gespeicherten Daten gelöscht.

VF: Das heißt, vorher unbedingt alles auf Stick oder Festplatte sichern?

Trottner: Grundsätzlich sollte man immer die wichtigsten Daten durch ein regelmäßiges Backup auf externen Datenträgern sichern. Damit kann man sicherstellen, dass es zu keinem Datenverlust kommt und nach einer Identifizierung eine Wiederherstellung der Daten relativ schnell zu bewerkstelligen ist.

VF: Ist der Virus dann wirklich weg oder kann er wieder auftauchen?

Trottner: Wenn die Schadsoftware ordnungsgemäß entfernt wurde, können Sie Ihr Gerät wieder wie gewohnt benutzen. Um einer erneuten Infektion vorzubeugen, empfiehlt es sich, auf Drittanbieteranwendungen zu verzichten und Apps nur über die offiziellen Marktplätze der Anbieter zu beziehen. Außerdem sollten Sie auch für Ihr mobiles Endgerät eine aktuelle Virenschutzsoftware verwenden.

VF: Reicht kostenlose Schutz-Software oder muss ich Geld investieren, um sicher zu sein?

Trottner: Kostenpflichtige Programme schneiden in der Regel besser ab als kostenlose Produkte. Letztere bieten häufig nur einen begrenzten Basisschutz.

VF: Wenn mein Handy infiziert ist: Kann ich dann gedankenlos Mails oder Nachrichten versenden?

Trottner: Die Infektion Ihres mobilen Endgerätes sollten Sie nicht auf die leichte Schulter nehmen. Die Infektion eines mobilen Endgerätes beschränkt sich nicht auf die reine Erpressung von Lösegeld. Schadsoftware kann, wie auch auf dem heimischen PC, ihr mobiles Endgerät ausspähen, sensible Daten weiterleiten oder die Kontrolle über Ihr System übernehmen. Sie sollten daher grundsätzlich davon absehen eine Infektion mit Schadprogrammen zu ignorieren.

VF: Was ist, wenn ich das Handy mit meinem PC koppele? Wird der Virus übertragen?

Trottner: Es ist zwar technisch möglich, dass Schadsoftware durch die Kopplung des mobilen Endgerätes auf den PC übertragen wird, jedoch muss man sich im vorliegenden Fall die Zielrichtung der Schadsoftware anschauen. Es geht darum, vom Nutzer auf simplem Weg Geld zu erpressen und das erfolgt durch die Sperrung des Smartphones oder Tablets. Die Täter suchen nach einer „schnellen Möglichkeit“ über Ukash, Paysafecard oder Bitcoin das Geld zu erhalten, weswegen sich der Mehraufwand eine plattformübergreifende Schadsoftware zu erstellen, nicht lohnen würde.

VF: Das heißt, ich kann aufatmen?

Trottner: Nicht unbedingt. Schließlich kam der BKA-Trojaner zuerst für den heimischen PC in Umlauf. Auch hier sollte man sich, mindestens durch die Verwendung einer aktuellen Virenschutzsoftware, vor Ransomware schützen.

VF: Wie kann sich der Virus überhaupt auf meinem Handy installieren?

Trottner: Hier gibt es mehrere Möglichkeiten. Zum einen kann eine Infektion verursacht werden, indem man infizierte Anwendungen auf Marktplätzen von Drittanbietern installiert; diese Funktion muss jedoch bei manchen Geräten zuerst manuell freigeschaltet werden.

Eine weitere Möglichkeit besteht durch das Zusenden einer E-Mail oder einer SMS mit einem Link in z.B. die Dropbox auf eine App (unbekannter Drittanbieter), die dazu auffordert z.B. den Link anzuklicken und eine App zu installieren.

Eine andere Verbreitungsart ist das Surfen auf Internetseiten, die mit Schadsoftware präparierten wurden. Durch einen sogenannten „Drive-By-Download“ fangen Sie sich einen Virus durch den bloßen Besuch einer infizierten Website ein.

VF: Danke für die hilfreichen Hinweise und Tipps.

Stand: November 2015

Weitere Tipps und Hinweise, wie Sie sich schützen können, Opfer einer Straftat zu werden, erhalten Sie unter: