Tipp: Android BKA Trojaner / SLocker Virus entfernen

Vermeintliche Whatsapp-Update-Seite mit Countdown.
Vermeintliche Whatsapp-Update-Seite mit Countdown.

Es passiert schneller als man denkt. Einmal unüberlegt geklickt und schon fängt man sich einen Virus ein. Selbst auf Smartphones bleibt man heutzutage nicht mehr davon verschont. Die, die mir dabei regelmäßig unterkommen sind verschiedene Variante der Ransomware „Android SLocker“, die auch als „BKA Trojaner“ bekannt ist. Eine beliebte Verbreitungsmasche ist unter anderem das ausgeben als Whatsapp-Update. Dabei wird dem Nutzer suggeriert, seine Whatsapp-Version würde ablaufen und wird unter Umständen noch durch einen Countdown unter Zugzwang gesetzt. Wer das vermeintliche Update gutgläubig installiert, erlebt die böse Überraschung.

Typisch für diese Malware ist es, dass sie euer Smartphone sperrt und ihr sie nicht mehr schließen und folglich nicht mehr an eure Daten kommen könnt. Auch wenn auf dem Sperrbildschirm behauptet wird, dass all eure Daten nun verschlüsselt seien, kann ich euch zumindest aktuell noch beruhigen. In den bisher kursierenden Varianten passiert mit euren Daten nicht viel, wobei mutmaßlich die Kontaktliste an die Hersteller des Virus gesendet werden.

Wie dem auch sei, bei allen bisher erschienenen Varianten ist noch nichts verloren, so dass es zwei Wege gibt, die Kontrolle über euer Handy zurückzuerlangen. Der einfache und kurze Weg wäre das Zurücksetzen in die Werkseinstellungen. Dabei gehen eure Daten verloren, dafür habt ihr schnell wieder ein sauberes Smartphone. Der zweite Weg ist etwas komplizierter, sorgt aber dafür, dass ihr den Virus sauber entfernen könnt, ohne dass eure Daten verloren gehen.

Smartphone nach erfolgreicher Infektion
Smartphone nach erfolgreicher Infektion

Handy zurücksetzen

Auf diesen Weg will ich gar nicht groß eingehen, da man überall dazu Infos im Netz findet. Zunächst müsst ihr euer Handy ausschalten. Da der Virus die Ausschalttaste blockiert, könnt ihr damit nur den Bildschirm ausschalten. Wenn ihr den Bildschirm jedoch anschaltet und ihr euch auf dem Sperrbildschirm von Android (nicht des Trojaners) befindet, könnt ihr durch langes Drücken der Power-Taste das altbekannte Menü aufrufen, mit dem ihr euer Handy ausschalten könnt.

Beim Starten müsst ihr euer Handy nun in den Recovery-Modus versetzen. Das ist Gerätespezifisch. Bei Samsung-Geräten schafft ihr das beispielsweise, indem ihr beim Starten die Lauter-Taste, den Home-Button und den Power-Button gedrückt haltet. Bei HTC-Geräten klappt es durch halten der Power- und der Leiser-Taste. Wie es genau bei eurem Gerät funktioniert findet ihr überall im Netz.

Sobald ihr im Recovery-Modus seid, könnt ihr einfach „Factory-Reset“ auswählen und alles wird in den Auslieferungszustand zurückgesetzt.

Virus entfernen ohne Zurücksetzen

Das Video wird von Youtube eingebettet abespielt.

Es gilt die Datenschutzerklärung von Google

Die meisten möchten natürlich gerne ihre Daten behalten und nicht gleich ihr ganzes Gerät zurücksetzen. Auch das ist bei bisher allen Varianten möglich, die mir untergekommen sind. Allerdings erfordert das etwas mehr Aufwand.

Bevor es losgeht, solltet ihr euch zur Sicherheit das Tool „Minimal ADB and Fastboot“ herunterladen und installieren, falls es sich bei eurem Virus um die hartnäckige Variante handelt, die unten beschrieben wird. Der Einfachheit halber installiert ihr es auf euren Desktop, da die Befehle ansonsten umständlicher werden könnten. Ist das geschafft, könnt ihr einfach folgende Schritt für Schritt Anleitung befolgen:

1. Startet euer Handy im „sicheren Modus“

Der „sichere Modus“ in Android funktioniert ähnlich wie der „abgesicherte Modus“ unter Windows. Dabei startet euer Handy ohne Apps von Drittherstellern und startet keinerlei von deren Diensten, die sonst nach dem Start angestoßen werden. Entsprechend wird auch der Virus nicht mitgestartet.

Den abgesicherten Modus startet man wie den Recovery-Modus auf jedem Gerät etwas anders. Bei diversen Samsung Galaxy-Geräten müsst ihr den Menü-Softbutton gedrückthalten, sobald die Softbuttons während des Startvorgangs anfangen zu leuchten. Haltet ihn gedrückt, bis das Handy fertig gestartet ist.

Viele andere Geräte andere Geräte gelangen in den „sicheren Modus“ indem ihr die beiden Lautstärke-Tasten während des Boot-Vorgangs gleichzeitig gedrückt haltet, bis das Handy hochgefahren ist.

Ob ihr erfolgreich wart, seht ihr, wenn in der linken unteren Ecke „sicherer Modus“ steht.

2. Den Virus finden

Wenn ihr euch eine harmlosere Version des Virus eingefangen habt, könnt ihr nun unter Einstellungen in die Anwendungsliste gehen und nach verdächtigen Apps suchen. Alte Versionen sind als „Porn Player“ bekannt. Die meisten neuen, die mir untergekommen sind, nannten sich einfach „System Update“ mit einem Android-Icon. Theoretisch kann der Name jedoch beliebig gewählt sein.

Habt ihr den Virus gefunden, könnt ihr nun auf „Deinstallieren“ klicken und ihr seid den Virus los und könnt euer Gerät neustarten.

„Deinstallieren“ ist ausgegraut? Herzlichen Glückwunsch, ihr habt die nächst hartnäckigere Version. Das bedeutet nämlich, dass ihr während der Installation des Virus ausversehen zugestimmt hat, dass er administrative Rechte enthält. Diese müssen ihm nun entzogen werden.

3. Dem Virus die administrativen Rechte entziehen

Um dem Virus die administrativen Rechte zu entziehen, geht ihr in den Einstellungen in die Rubrik „Sicherheit“. Dort solltet ihr den Unterpunkt „Geräteadministratoren“ finden. In der Liste sind nun alle Apps zu sehen, die administrative Rechte haben. Darunter sollte auch euer Virus sein. Den erkennt ihr normalerweise am Icon, da eine App in dieser Liste einen beliebigen anderen Namen tragen darf. In meinem Fall nennt sich der Virus dort lediglich „Update“.

Bevor ihr nun den Haken entfernt, seid gewarnt. Wenn ihr den Haken entfernt und euer Entscheidung bestätigt, poppt ein Benachrichtigungsfeld auf, bei dem ihr nochmal mit „Ja“ bestätigen müsst. Zeitgleich wird jedoch der Trojaner informiert, dass ihm die Rechte entzogen werden. Er nutzt diesen Hinweis, um sich selbst schnellstmöglich wieder zu starten und den Bildschirm zu blockieren.

Keine sorge, ihr habt beliebig viele Versuche. War der Virus schneller, könnt ihr den Vorgang einfach wiederholen, bis ihr schneller wart und „Ja“ drücken konntet. In dem Fall ist der haken in der Administratorenliste ausgegraut.

War ihr erfolgreich, könnt ihr wieder zu Punkt zwei gehen und in der Anwendungsliste den Trojaner wie eine normale App deinstallieren und im Anschluss das Gerät neustarten.

Was? Der Trojaner war nicht in der Geräteadministratorenliste? Herzlichen Glückwunsch, ihr habt die neuste Variante, die mir bisher untergekommen ist. Aber keine Sorge, auch die können wir loswerden. Dafür geht es jetzt allerdings ans Eingemachte.

4. Die ADB-Schnittstelle aktivieren

Um diese Variante der Malware loszuwerden, müssen wir zunächst die Entwicklerschnittstelle aktivieren. Dazu geht ihr zunächst in die Einstellungen auf den Punkt „Über das Telefon“ oder auch „Telefoninfo“. Dort sucht ihr nach dem Eintrag „Buildnummer“. Tippt so oft auf diesen Eintrag, bis der Hinweis erscheint, dass der Entwicklermodus aktiviert worden ist.

Wechselt nun in den Einstellungen in die Entwickler-Optionen und aktiviert den Punkt „USB-Debugging“ und startet euer Handy neu (in den normalen Modus, in dem auch der Virus läuft).

5. Paketnamen des Virus herausfinden

Bevor es losgeht, schließt ihr das Handy über USB an euren PC an. Gegebenenfalls müsst ihr von der Herstellerseite noch Treiber installieren, im idealfall findet Windows die allerdings selbst. Windows 10 hat das für mich in allen Fällen bisher erfolgreich erledigt.

Nun startet ihr „Minimal ADB and Fastboot“. Es sollte sich ein Eingabeaufforderungsfenster öffnen, dass sich im Ordner eurer ADB-Installation befindet. Ob euer Gerät erfolgreich erkannt wurde, könnt ihr mit folgendem Befehl testen:

adb devices

Dort sollte nun ein Gerät aufgelistet werden. Wenn das der Fall ist, geht es mit dem nächsten Befehl weiter.

adb shell dumpsys package > packages.txt

Jetzt sollte sich in eurem ADB-Ordner eine Textdatei namens „packages.txt“ befinden. Öffnet diese mit einem beliebigen Texteditor.

In der Datei befinden sich alle Informationen über die installierten Pakete eures Handys. Am einfachsten findet ihr dabei den Virus, wenn ihr wisst, an welchem Tag er installiert worden ist. Ihr könnt nach dem Datum suchen. In meinem Fall ist es der 22.12.2015. Da das Datum rückwärts und mit Bindestrichen notiert ist, suche ich nach:

firstInstallTime=2015-12-22

Wenn ihr nun ein paar Zeilen nach oben seht, solltet ihr eine Zeile finden, die mit „Package [xxx]“ beginnt, wobei xxx für den Paketnamen steht. Meine Zeile sieht so aus:

Package [fl.epicycles] (417abb88):

Damit wissen wir also, dass sich das Viruspaket „fl.epicycles“ nennt. Gebt nun folgenden Befehl ein:

adb shell am force-stop <paketname>

In meinem Fall wäre es also „adb shell am force-stop fl.epicycles“. Damit können wir den Virus einfach beenden. Jetzt haben wir wieder vollen Zugriff auf das Smartphone. Allerdings ist die Malware immer noch installiert und startet sich bei jedem Neustart des Gerätes erneut.

Deshalb geht es nun an das endgültige Entfernen.

6. Entgültiges Entfernen des Virus

Im wesentlichen kommen jetzt wieder Punkt 2 und 3 zum Tragen. Wenn ihr nun in den Einstellungen unter Sicherheit in die Geräteadministratorenliste schaut, sollte nun der Virus zu finden sein. Entfernt den Haken und bedenkt, dass sich der Virus starten kann. Sollte das passieren, beendet ihn einfach wieder mit dem oben genannten Befehl und versucht es erneut.

Ist der Adminstatus entfernt, könnt ihr nun wie in Punkt 2 beschrieben in die Anwendungsliste gehen und den Virus von dort wie jede andere App deinstallieren und voilà, euer Handy ist wieder Virenfrei.

Über Obli 221 Artikel
Leidenschaftlicher Technikfreak mit einem Hang zu allem, was irgendwie multimedial ist.

4 Kommentare

  1. Wie muss man vorgehen, wenn man diesen Virus nur auf der micro SD-Karte vorfindet? Mir ist es nicht möglich diese zu formatieren oder deren Daten zu löschen, die Sicherung der Privaten Dateien ist mir gelungen. Mittlerweile habe ich mir eine neue SDcard besorgt trotzdem interessiert mich die Entfernung des Trojaners. Ich habe deine Anleitung probiert und kam bis zu „adb shell dumpsys package > packages.txt“, wo mir der Zugriff verweigert wird. Ichhoffe du kannst mir helfen.
    PS.: Mein Virenschutzprogramm vom PC konnte ihn ausfindig machen, aber nicht entfernen. Und die SD karte ist nicht von meinem Smartphone erreichbar.

    • Wenn dir der Zugriff verweigert wird, musst du bei dem Befehl den Pfad anpassen, wo das Ergebnis hingeschrieben wird. Also einen Pfad, auf dem du Schreibrechte hast. Im Normalfall bietet sich da der Desktop an. Dann wäre der Befehl:
      adb shell dumpsys package > C:\Users\DeinBenutzername\Desktop\packages.txt

      Was sagt denn dein Virenscanner genau, wo die Datei liegt und wie sie heißt?

  2. Habe den Virus auf meinem Handy, habe mehrmals versucht es neu zu starten und alles war durch den Trojaner gesperrt. Habe dann letztendlich das WLAN aus gemacht und den Akku raus geholt weil die vorherigen Versuche nichts gebracht haben und jetzt geht das Smartphone nicht mehr an. Ist ein Samsung Galaxy S3 Mini.
    Was kann ich tun??

    • Erstmal Akku prüfen, ob korrekt eingesetzt und sehen, ob das Gerät eine Reaktion zeigt, wenn man versucht, es zu laden. Wenn der Akku tiefentladen ist, kann es sein, dass er erst eine Weile braucht, bis er wieder genug Energie hat, um das Gerät zu starten.

      Wenn es dann wieder startet, wäre die einfachste Möglichkeit: Power-, Lauter- und Home-Taste gerdrückt halten. Kurz nachdem es angeht, NUR die POWER-Taste loslassen und warten, dass das Gerät in den Recovery-Modus geht. Dort kann man es vollständig zurücksetzen. Bilder und Whatsapp kann man durch normales Hochfahren und Anschließen an den Rechner ohne Gefahr sichern. Ansonsten, wenn man das Zurücksetzen vermeiden will, einfach der Anleitung hier folgen.

      Es kann natürlich im Schlimmstfall sein, dass der Akku einen Defekt hat. Ist zwar unwahrscheinlich, aber wenn es sich nicht mehr laden lässt, auch nicht mit anderem Ladegerät und Ladekabel, spricht vieles dafür.

Kommentare sind geschlossen.