Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Verbraucher erneut vor online angebotenen Mobilgeräten mit vorinstallierter Malware gewarnt. Zuvor hatte das BSI auf den über unterschiedliche Online-Marktplätze gekauften Smartphones zuvor vorinstallierte Schadsoftware nachgewiesen. Betroffen sind die Modelle Doogee BL7000 und M Horse Pure 1.
Foto: BSI
Auf dem Keecoo P11 wurde vom BSI die Schadsoftware ebenfalls gefunden. Für dieses Gerät steht allerdings mit der Version V3.04 über die Updatefunktion eine Firmware ohne Schadsoftware zur Verfügung. Auf dem VKworld Mix Plus fand das BSI die gleiche, allerdings inaktive Schadsoftware. Denoch ist für Verbraucher auch hier besondere Vorsicht angeraten. Einige Handelsplattformen haben die von der BSI-Warnung betroffenen Geräte bis auf Weiteres bereits aus dem Sortiment genommen.
"Unsere Untersuchungen zeigen ganz deutlich, dass IT-Geräte mit vorinstallierter Schadsoftware offensichtlich keine Einzelfälle sind. Sie gefährden die Verbraucherinnen und Verbraucher, die diese günstigen Smartphones kaufen und letztlich womöglich mit ihren Daten draufzahlen", erklärt BSI-Präsident Arne Schönboh. Er erneuerte zudem seine Forderung, dass Hersteller und Händler zusammenarbeiten müssten, um solche Angriffsszenarien zu verhindern und sicherzustellen, dass derartig unsichere Geräte künftig gar nicht erst verkauft werden können.
Frühere Warnung des BSI vor vorinstallierter Malware
Bereits im Februar 2019 gab das BSI eine Warnmeldung heraus, weil Tablets und Smartphones mit vorinstallierter Malware entdeckt worden waren. Ursprünglich hatte Sophos über im Werkszustand mitgelieferte Malware beim Ulefone S8 Pro berichtet und das Schadprogramm analysiert.
Lesetipp: KMU-Kunden erfolgreich durch ein Sicherheitsprojekt begleiten
Daraufhin haben auch Experten des BSI diverse über Amazon angebotene Geräte unter die Lupe genommen. Sie wurden beim Tablet-Modell Eagle 804 des Anbieters Krüger&Matz fündig. Zudem enthielt laut BSI die auf den Webseiten von Ulefon und Blackview zum Download angebotene Firmware die gleiche Schadsoftware. Amazon hatte im Frühjahr die Geräte von Blackview, Krüger&Matz sowie Ulefon und nach Aufforderung durch das BSI vorerst aus dem Sortiment genommen.
- Komsas Kuriositäten-Kabinett
Die Smartphone-Spezialisten der Komsa-Tochter W-Support erreichen allerlei kuriose Reparaturfälle. Hier finden Sie einige Beispiele. Die Geschichten hinter den skurrilen Einsendung finden Sie im unten stehenden Artikel. - Endgültige Trennung
Dieses Samsung Galaxy S3 wurde von einem wütenden Ehemann zerteilt. - Telefon zu Hackschnitzeln
Kein Haifisch sondern ein Schredder wurde diesem Ericsson GH-198 zum Verhängnis. - Zum Fressen gern
Ein kommunikationsfreudige Vierbeiner nutzte diesen Nokia Communicator 9210 als Kauknochen. - Smartphone als Lebensretter
Dieses Samsung Galaxy S 2 hielt eine Kugel auf. - Mobiltelefon, medium gegrillt
Dieses Smartphone mit Hitzeschaden wurde von einem Hobbykoch zu heiß behandelt. - Handy soll Bagger stoppen
Weil ein Bagger nicht ins Rollen kommen sollte, musste ein Nokia N8 als Unterlegkeil herhalten. - Klapp-Handy zum Selberbauen
Motorola war berühmt für seine Klapp-Handys. Das L7 zählte allerdings nicht dazu. So sah es nach dem Klappversuch aus. - Vertuschung fehlgeschlagen
Mit einem Brandschaden sollte bei diesem Sony M5 ein Display-Schaden vertuscht werden. - Im Türrahmen geknickt
Zwar gab es bei diesem Sony X Compact tatsächlich einen Akkubrand, die Ursache war aber ein doppeltes Knickmuster. - Es kommt auch auf die Hülle an
Auch bei der Wahl der Versandverpackungen sind die Kunden kreativ. - Wo liegt der Fehler?
Eine genaue Fehlerbeschreibung kann den Reparaturvorgang beschleunigen.
Die Malware nahm mit einem bekannten Command&Control-Server Kontakt auf. Dem BSI liegen zudem Daten vor, wonach von über 20.000 unterschiedlichen deutschen IP-Adressen pro Tag Verbindungen zu diesem Server aufgenommen werden. Daher müsse "von einer größeren Verbreitung von Geräten mit dieser Schadsoftware-Variante in Deutschland" ausgegangen werden. Deutsche Netzbetreiber hatte das BSI bereits zuvor über infizierte Geräte in deren Netzen informiert. Sie benachrichtigten dann ihre Kunden.
Die von Sophos als "Andr/Xgen2-CY" bezeichnete Malware übermittelt Gerätedaten an den C&C-Server und kann weitere Schadprogramme wie Banking-Trojaner nachladen und ausführen. Laut BSI kann die Schadsoftware aufgrund der Verankerung im internen Bereich der Firmware nicht manuell entfernt werden. Firmware-Updates wurden zunächst nicht angeboten. Damit gebe es keine Möglichkeit, die Geräte zuverlässig zu bereinigen und ohne Schadfunktionalität zu betreiben.
Weitere Fälle vorinstallierter Malware auf Smartphones
Es ist nicht das erste Mal, dass günstige mobile Endgeräte mit vorinstallierter Malware über Online-Kanäle in den Markt gebracht werden. Bereits 2014 hatte der Security-Anbieter Marble Security vor Schadsoftware auf neuen Android-Smartphones mehrerer Hersteller gewarnt. Betroffen waren Samsung, Motorola, Asus und LG. Es handelt es sich damals um eine infizierte Version der Netflix-App. Sie las persönliche Daten wie Passwörter und Kreditkartendaten aus und übermittelte sie an einen Server in Russland.
Lesetipp: Security-Lösungen für kleine Unternehmen
Zuvor hatte bereits Lookout Security Schadsoftware auf fabrikneuen Smartphones entdeckt. Wie Marc Rogers, Principal Security Researcher bei Lookout, damals gegenüber Computerworld erklärte,versuchten die Malware-Autoren, ihre Programme über die Lieferkette in neue Geräte einzuschleusen. Die jeweiligen Hersteller beziehungsweise Netflix, dessen App betroffen war, hätten damit nichts zu tun.
Auch 2017, als Check Point bei zwei großen Kunden vorinstallierte Malware auf an Mitarbeiter ausgegeben Firmenhandys fand, wurde eine undichte Stelle in der Lieferkette dafür verantwortlich gemacht. Die Check-Point-Experten konnten damals exakt bestimmen, wann die Malware aufgespielt wurde. In mehreren Fällen kam sie mit System-Rechten zum ROM hinzu. Daher ließ sie sich nur durch vollständiges Flashen des Betriebssystems entfernen.