Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Smartphones und Tablets betroffen

BSI warnt vor Geräten mit vorinstallierter Malware

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Entdeckt wurde die Sicherheitslücke bei einem testweise über Amazon gekauften Tablet vom Typ Eagle 804 des Herstellers Krüger&Matz. Für Smartphones der Anbieter Ulefon und Blackview steckt derselbe Schadcode in der auf den Webseiten zum Download angebotenen Firmware.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Verbraucher vor online angebotenen Tablets und Smartphones mit vorinstallierter Malware gewarnt. Ursprünglich hatte Sophos über im Werkszustand mitgelieferte Malware beim Ulefone S8 Pro berichtet und das Schadprogramm analysiert. Daraufhin haben auch Experten des BSI diverse über Amazon angebotene Geräte unter die Lupe genommen. Sie wurden beim Tablet-Modell Eagle 804 des Anbieters Krüger&Matz fündig. Zudem enthält laut BSI die auf den Webseiten von Ulefon und Blackview zum Download angebotene Firmware die gleiche Schadsoftware.

Die von Sophos als Andr/Xgen2-CY bezeichnete Malware steckt in der Firmware von mindestens drei Mobilgerätetypen.
Die von Sophos als Andr/Xgen2-CY bezeichnete Malware steckt in der Firmware von mindestens drei Mobilgerätetypen.
Foto: Yuttanas - shutterstock.com

Die Malware nimmt mit einem bekannten Command&Control-Server Kontakt auf. Dem BSI liegen zudem Daten vor, wonach von über 20.000 unterschiedlichen deutschen IP-Adressen pro Tag Verbindungen zu diesem Server aufgenommen werden. Daher müsse "von einer größeren Verbreitung von Geräten mit dieser Schadsoftware-Variante in Deutschland" ausgegangen werden. Deutsche Netzbetreiber hatte das BSI bereits zuvor über infizierte Geräte in deren Netzen informiert. Sie werden nun ihre Kunden benachrichtigen.

Die von Sophos als "Andr/Xgen2-CY" bezeichnete Malware übermittelt Gerätedaten an den C&C-Server und kann weitere Schadprogramme wie Banking-Trojaner nachladen und ausführen. Laut BSI kann die Schadsoftware aufgrund der Verankerung im internen Bereich der Firmware nicht manuell entfernt werden. Firmware-Updates wurden zunächst nicht angeboten. Damit gebe es keine Möglichkeit, die Geräte zuverlässig zu bereinigen und ohne Schadfunktionalität zu betreiben.

Bereits früher vorinstallierte Malware auf Smartphones

Es ist nicht das erste Mal, dass günstige mobile Endgeräte mit vorinstallierter Malware über Online-Kanäle in den Markt gebracht werden. Bereits 2014 hatte der Security-Anbieter Marble Security vor Schadsoftware auf neuen Android-Smartphones mehrerer Hersteller gewarnt. Betroffen waren Samsung, Motorola, Asus und LG. Es handelt es sich damals um eine infizierte Version der Netflix-App. Sie las persönliche Daten wie Passwörter und Kreditkartendaten aus und übermittelte sie an einen Server in Russland.

Zuvor hatte bereits Lookout Security Schadsoftware auf fabrikneuen Smartphones entdeckt. Wie Marc Rogers, Principal Security Researcher bei Lookout, damals gegenüber Computerworld erklärte,versuchten die Malware-Autoren, ihre Programme über die Lieferkette in neue Geräte einzuschleusen. Die jeweiligen Hersteller beziehungsweise Netflix, dessen App betroffen war, hätten damit nichts zu tun.

Auch 2017, als Check Point bei zwei großen Kunden vorinstallierte Malware auf an Mitarbeiter ausgegeben Firmenhandys fand, wurde eine undichte Stelle in der Lieferkette dafür verantwortlich gemacht. Die Check-Point-Experten konnten damals exakt bestimmen, wann die Malware aufgespielt wurde. In mehreren Fällen kam sie mit System-Rechten zum ROM hinzu. Daher ließ sie sich nur durch vollständiges Flashen des Betriebssystems entfernen.

Nach Ansicht von BSI-Präsident Arne Schönbohm sollen Händler verhindern, dass Geräte mit vorinstallierter Malware auf den Markt kommen.
Nach Ansicht von BSI-Präsident Arne Schönbohm sollen Händler verhindern, dass Geräte mit vorinstallierter Malware auf den Markt kommen.
Foto: BSI

"Einmal mehr zeigt sich an diesem Fall ganz deutlich, dass der Preis oder technische Features allein kein Kriterium für eine Kaufentscheidung sein dürfen. Die Anwender zahlen sonst möglicherweise mit ihren Daten oder durch betrügerische Aktivitäten deutlich drauf. Um eine fundierte Kaufentscheidung treffen zu können, sind die Anwender auch auf eine transparente Darstellung der Sicherheitseigenschaften angewiesen", erklärt BSI-Präsident Arne Schönbohm.

Seiner Ansicht nach sind die Händler gefordert: "Sie müssen auch dafür Sorge tragen, dass solche Geräte gar nicht erst in den Markt kommen." Wie sie das bewerkstelligen sollen, verriet der Beamte nicht. Amazon hat die drei genannten Geräte nach Aufforderung durch das BSI vorerst aus dem Sortiment genommen.