AndroidAndroid für AnfängerNews

Malware sicher vom Android Smartphone entfernen [Android für Anfänger]

Android für Anfänger

Auch wenn es unwahrscheinlicher ist, als es uns so manch Anti-Viren-Programm weiß machen will, kann man sich auch in Europa im Google Play Store auf seinem Android Gerät Malware einfangen. Erst jüngst machte eine neue Welle Trojaner den Play Store unsicher , weswegen wir uns in unserer heutigen Folge von Android für Anfänger mit der sicheren Entfernung von Viren und Malware beschäftigen wollen.

Trotz aller Vorkehrungen und Sicherheitsmaßnahmen wie ein Anti-Malware-Scanner mit Echtzeit-Überwachung des Speichers, das Vermeiden von unseriösen Download-Portalen über den Browser oder die Verwendung des Google Play Store: Letzten Endes kann sich eine Malware auch ohne das Wissen des Nutzers als Drive-by-Download auf dem eigenen Android Smartphone oder Android Tablet einnisten.

Malware ist ständig aktuell

Zuletzt sorgte wie bereits erwähnt eine neue Trojaner-Welle im offiziellen Google Play Store für Aufsehen (zum Beitrag), was zeigt, dass die automatisierten Maßnahmen von Google für mehr Sicherheit nicht zuverlässig genug arbeiten. Allerdings reagiert Google mitunter auf entsprechende Hinweise auch umgehend (zum Beitrag).

Gerade wenn man sich die Statistiken anschaut wird es zwiespältig: So sollen zwar mobile Bedrohungen in den letzten Jahren enorm zugelegt haben, aber Anti-Malware-Entwickler sind von dieser Entwicklung die Nutznieser. Insofern sollte man derartige Zahlen mit einer gewissen Skepsis betrachten, da Entwickler mit Berichten über massenweise befallene Android Smartphones zum Kauf ihrer Schutzlösungen animieren wollen.

Angesichts der steigenden Bedrohungen durch Keylogger, Trojaner für Mobile Banking Nutzer und auch die perfide Ransomware (zum Beitrag) ist es trotzdem wichtig zu wissen, wie man diese Malware im Zweifelsfall wieder los wird.
Meistens fängt man sich diese über den Browser ein, dem auftauchenden Popup wie im Fall der jüngsten Trojaner-Welle oder auch über eine Werbe-Anzeige in einem Spiel.

Erster Schritt: Abgesicherter Modus

Hat man eine bestimmte App als Malware identifizieren können, die man gewiss nicht selbst installiert hat, ist ein erster Schritt das Neustarten im Abgesicherten Modus. Normalerweise sollte jedes neuere Android Smartphone einen solchen Modus bieten, welcher über eine spezielle Tasten-Kombination während des Bootvorgangs aktiviert wird.

Bei einem Samsung-Smartphone muss man dazu während des Neustarts durchgehend die Leiser-Taste gedrückt halten, bis das Smartphone oder Tablet fertig gebootet ist. Das der Sichere Modus auch tatsächlich aktiviert wurde ist durch ein entsprechendes Wasserzeichen „Sicherer Modus“ in der linken unteren Ecke zu sehen. Bei einem Nexus Smartphone ist es wieder ein wenig anders: Im eingeschalteten Zustand die Power-Taste gedrückt halten bis das Ausschalten-Menü erscheint. Nun nochmals die Taste gedrückt halten bis die Abfrage für den abgesicherten Modus erscheint.

Je nach Hersteller kann die nötige Tasten-Kombination auch anders aussehen. Erfreulich ist allerdings, dass dies auch bei Custom ROMs wie CyanogenMod 13 funktioniert.

Zweiter Schritt: App deinstallieren

Im abgesicherten Modus werden prinzipiell keine nachträglichen Apps gestartet, sondern nur diejenigen die ab Werk auf dem Android Smartphone vom jeweiligen Hersteller fest vorinstalliert waren. Von daher lässt sich manche Malware in diesem Modus bereits bequem über die App-Einstellungen deinstallieren.

Wichtig: Das bloße Deinstallieren der Malware-verseuchten App sollte man nicht durchführen. Vor der eigentlichen Deinstallation empfiehlt es sich die App-Daten zu löschen. Bis einschließlich Android 5.1.1 Lollipop ist dafür ein extra Button in der Detail-Ansicht der jeweiligen App vorhanden, mit Android 6.0 Marshmallow und neuer muss man dazu auf den Punkt „Speicher“ drücken – wo exakt dieselben Tasten vorzufinden sind. Auf diese Weise entfernt man mögliche temporäre Daten der betroffenen App gleich mit.

Dritter Schritt: Geräte-Administratoren entfernen

Unter Umständen kann es vorkommen, dass sich eine Malware unbemerkt als Geräteadministrator eingenistet hat. In diesem Fall kann man diese über Einstellungen -> Sicherheit -> Geräteadminstratoren wieder entfernen. Spätestens an dieser Stelle sollte man auch sehen, wenn sich ein Trojaner oder eine andere Malware mehr Rechte einverleibt hat als gedacht.

Nachdem man die App als Geräteadministrator deaktiviert hat, lässt sich diese auch zumeist problemlos entfernen. Ohne diesen Schritt kann die Deinstallation verweigert werden – eben mit dem Hinweis auf den Status als Geräteadministrator.

Die weniger schönen Ausnahmen

Leider kommt es auch vor, dass nicht einmal der abgesicherte Modus von Android ausreicht, um eingenistete Malware zu entfernen. Denn Lookout hat unter anderem letztes Jahr eine Reihe von Malware-verseuchter Apps entdeckt, die sich mit Hilfe von Exploits Root-Rechte verschaffen und daher deutlich tiefer im System einnisten, als das man sie mit den einfachen Mitteln entfernen könnte.

In solchen Fällen muss man nicht selten mit härteren Bandagen herangehen: Da ein einfacher Werksreset in solchen Fällen nicht hilft, muss der interne Speicher platt gemacht und ein neues Firmware-Image geflasht werden. Wer sich das nicht zutraut sollte entweder einen erfahrenen Bekannten in diesem Bereich aufsuchen oder ein offizielles Service-Center seines Smartphone Herstellers. Dort sollte einem in der Regel geholfen werden, wenn auch nicht ohne gewisse Kosten verbunden.

Für Profis

Über ADB kann man den kompletten internen Speicher des Gerätes restlos formatieren, sodass auch die hartnäckigste Malware nicht überlebt. Alternativ sollte dies auch mit einem Cutsom Recovery wie TWRP machbar sein, wo man in den Einstellungen des Recovery die nachfolgend beschriebene Lösch-Methode anstelle des einfachen Formatierens aktivieren kann.
Nachteil der Prozedur ist wiederum, dass man anschließend zwingend ein Firmware-Image flashen muss.

Wenn das kein Problem darstellt, aktiviert man das USB-Debugging auf dem Android Smartphone, verbindet es mit dem Desktop-Rechner, startet ADB und gibt kurzerhand das Kommando „adb shell“ ein. Nun folgt der eigentliche Löschbefehl „rm“ gefolgt einem Parameter und dem zu löschenden Ordner. Zum Beispiel sieht der Befehl zum Löschen des internen Speichers den man auch als normaler Nutzer zu Gesicht bekommt so aus – der Parameter „-rf“ steht dabei für das rekursive Löschen des kompletten Ordners ohne jegliche Nachfrage:

rm -rf /storage/emulated/0

Wichtig: Stellt vor dem Ausführen des ADB-Kommandos sicher, dass der interne Speicher überhaupt auf diesen Pfad eingebunden ist. Bei Android ab Version 4.4 KitKat sollte dies der Fall sein.
Zum restlosen Entfernen der Daten und auch möglicher Malware sollten diese Ordner mit dem rm-Kommando gelöscht werden:

  • /cache
  • /data
  • /system

Will man nun das Gerät neu starten, wird sich dieses in einer Bootschleife befinden, da ja mit dem Ordner /system das Betriebssystem gelöscht wurde. An dieser Stelle kommt das Flashen des Firmware-Image ins Spiel, was bei jedem Smartphone-Hersteller unterschiedlich funktioniert.

Beitrag teilen:

Stefan

Mann mit Bart und Faible für Smartphones und Tablets jeder Plattform, doch eindeutig bekennender Androidliebhaber.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert