Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Verbraucher erneut vor online angebotenen Mobilgeräten mit vorinstallierter Malware gewarnt. Zuvor hatte das BSI auf den über unterschiedliche Online-Marktplätze gekauften Smartphones zuvor vorinstallierte Schadsoftware nachgewiesen. Betroffen sind die Modelle Doogee BL7000 und M Horse Pure 1.
Foto: BSI
Auf dem Keecoo P11 wurde vom BSI die Schadsoftware ebenfalls gefunden. Für dieses Gerät steht allerdings mit der Version V3.04 über die Updatefunktion eine Firmware ohne Schadsoftware zur Verfügung. Auf dem VKworld Mix Plus fand das BSI die gleiche, allerdings inaktive Schadsoftware. Denoch ist für Verbraucher auch hier besondere Vorsicht angeraten. Einige Handelsplattformen haben die von der BSI-Warnung betroffenen Geräte bis auf Weiteres bereits aus dem Sortiment genommen.
"Unsere Untersuchungen zeigen ganz deutlich, dass IT-Geräte mit vorinstallierter Schadsoftware offensichtlich keine Einzelfälle sind. Sie gefährden die Verbraucherinnen und Verbraucher, die diese günstigen Smartphones kaufen und letztlich womöglich mit ihren Daten draufzahlen", erklärt BSI-Präsident Arne Schönboh. Er erneuerte zudem seine Forderung, dass Hersteller und Händler zusammenarbeiten müssten, um solche Angriffsszenarien zu verhindern und sicherzustellen, dass derartig unsichere Geräte künftig gar nicht erst verkauft werden können.
Frühere Warnung des BSI vor vorinstallierter Malware
Bereits im Februar 2019 gab das BSI eine Warnmeldung heraus, weil Tablets und Smartphones mit vorinstallierter Malware entdeckt worden waren. Ursprünglich hatte Sophos über im Werkszustand mitgelieferte Malware beim Ulefone S8 Pro berichtet und das Schadprogramm analysiert.
Lesetipp: KMU-Kunden erfolgreich durch ein Sicherheitsprojekt begleiten
Daraufhin haben auch Experten des BSI diverse über Amazon angebotene Geräte unter die Lupe genommen. Sie wurden beim Tablet-Modell Eagle 804 des Anbieters Krüger&Matz fündig. Zudem enthielt laut BSI die auf den Webseiten von Ulefon und Blackview zum Download angebotene Firmware die gleiche Schadsoftware. Amazon hatte im Frühjahr die Geräte von Blackview, Krüger&Matz sowie Ulefon und nach Aufforderung durch das BSI vorerst aus dem Sortiment genommen.
Die Malware nahm mit einem bekannten Command&Control-Server Kontakt auf. Dem BSI liegen zudem Daten vor, wonach von über 20.000 unterschiedlichen deutschen IP-Adressen pro Tag Verbindungen zu diesem Server aufgenommen werden. Daher müsse "von einer größeren Verbreitung von Geräten mit dieser Schadsoftware-Variante in Deutschland" ausgegangen werden. Deutsche Netzbetreiber hatte das BSI bereits zuvor über infizierte Geräte in deren Netzen informiert. Sie benachrichtigten dann ihre Kunden.
Die von Sophos als "Andr/Xgen2-CY" bezeichnete Malware übermittelt Gerätedaten an den C&C-Server und kann weitere Schadprogramme wie Banking-Trojaner nachladen und ausführen. Laut BSI kann die Schadsoftware aufgrund der Verankerung im internen Bereich der Firmware nicht manuell entfernt werden. Firmware-Updates wurden zunächst nicht angeboten. Damit gebe es keine Möglichkeit, die Geräte zuverlässig zu bereinigen und ohne Schadfunktionalität zu betreiben.
Weitere Fälle vorinstallierter Malware auf Smartphones
Es ist nicht das erste Mal, dass günstige mobile Endgeräte mit vorinstallierter Malware über Online-Kanäle in den Markt gebracht werden. Bereits 2014 hatte der Security-Anbieter Marble Security vor Schadsoftware auf neuen Android-Smartphones mehrerer Hersteller gewarnt. Betroffen waren Samsung, Motorola, Asus und LG. Es handelt es sich damals um eine infizierte Version der Netflix-App. Sie las persönliche Daten wie Passwörter und Kreditkartendaten aus und übermittelte sie an einen Server in Russland.
Lesetipp: Security-Lösungen für kleine Unternehmen
Zuvor hatte bereits Lookout Security Schadsoftware auf fabrikneuen Smartphones entdeckt. Wie Marc Rogers, Principal Security Researcher bei Lookout, damals gegenüber Computerworld erklärte,versuchten die Malware-Autoren, ihre Programme über die Lieferkette in neue Geräte einzuschleusen. Die jeweiligen Hersteller beziehungsweise Netflix, dessen App betroffen war, hätten damit nichts zu tun.
Auch 2017, als Check Point bei zwei großen Kunden vorinstallierte Malware auf an Mitarbeiter ausgegeben Firmenhandys fand, wurde eine undichte Stelle in der Lieferkette dafür verantwortlich gemacht. Die Check-Point-Experten konnten damals exakt bestimmen, wann die Malware aufgespielt wurde. In mehreren Fällen kam sie mit System-Rechten zum ROM hinzu. Daher ließ sie sich nur durch vollständiges Flashen des Betriebssystems entfernen.