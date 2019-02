Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Verbraucher vor online angebotenen Tablets und Smartphones mit vorinstallierter Malware gewarnt. Ursprünglich hatte Sophos über im Werkszustand mitgelieferte Malware beim Ulefone S8 Pro berichtet und das Schadprogramm analysiert. Daraufhin haben auch Experten des BSI diverse über Amazon angebotene Geräte unter die Lupe genommen. Sie wurden beim Tablet-Modell Eagle 804 des Anbieters Krüger&Matz fündig. Zudem enthält laut BSI die auf den Webseiten von Ulefon und Blackview zum Download angebotene Firmware die gleiche Schadsoftware.

Die Malware nimmt mit einem bekannten Command&Control-Server Kontakt auf. Dem BSI liegen zudem Daten vor, wonach von über 20.000 unterschiedlichen deutschen IP-Adressen pro Tag Verbindungen zu diesem Server aufgenommen werden. Daher müsse "von einer größeren Verbreitung von Geräten mit dieser Schadsoftware-Variante in Deutschland" ausgegangen werden. Deutsche Netzbetreiber hatte das BSI bereits zuvor über infizierte Geräte in deren Netzen informiert. Sie werden nun ihre Kunden benachrichtigen.

Die von Sophos als "Andr/Xgen2-CY" bezeichnete Malware übermittelt Gerätedaten an den C&C-Server und kann weitere Schadprogramme wie Banking-Trojaner nachladen und ausführen. Laut BSI kann die Schadsoftware aufgrund der Verankerung im internen Bereich der Firmware nicht manuell entfernt werden. Firmware-Updates wurden zunächst nicht angeboten. Damit gebe es keine Möglichkeit, die Geräte zuverlässig zu bereinigen und ohne Schadfunktionalität zu betreiben.

Bereits früher vorinstallierte Malware auf Smartphones

Es ist nicht das erste Mal, dass günstige mobile Endgeräte mit vorinstallierter Malware über Online-Kanäle in den Markt gebracht werden. Bereits 2014 hatte der Security-Anbieter Marble Security vor Schadsoftware auf neuen Android-Smartphones mehrerer Hersteller gewarnt. Betroffen waren Samsung, Motorola, Asus und LG. Es handelt es sich damals um eine infizierte Version der Netflix-App. Sie las persönliche Daten wie Passwörter und Kreditkartendaten aus und übermittelte sie an einen Server in Russland.

Zuvor hatte bereits Lookout Security Schadsoftware auf fabrikneuen Smartphones entdeckt. Wie Marc Rogers, Principal Security Researcher bei Lookout, damals gegenüber Computerworld erklärte,versuchten die Malware-Autoren, ihre Programme über die Lieferkette in neue Geräte einzuschleusen. Die jeweiligen Hersteller beziehungsweise Netflix, dessen App betroffen war, hätten damit nichts zu tun.

Auch 2017, als Check Point bei zwei großen Kunden vorinstallierte Malware auf an Mitarbeiter ausgegeben Firmenhandys fand, wurde eine undichte Stelle in der Lieferkette dafür verantwortlich gemacht. Die Check-Point-Experten konnten damals exakt bestimmen, wann die Malware aufgespielt wurde. In mehreren Fällen kam sie mit System-Rechten zum ROM hinzu. Daher ließ sie sich nur durch vollständiges Flashen des Betriebssystems entfernen.

"Einmal mehr zeigt sich an diesem Fall ganz deutlich, dass der Preis oder technische Features allein kein Kriterium für eine Kaufentscheidung sein dürfen. Die Anwender zahlen sonst möglicherweise mit ihren Daten oder durch betrügerische Aktivitäten deutlich drauf. Um eine fundierte Kaufentscheidung treffen zu können, sind die Anwender auch auf eine transparente Darstellung der Sicherheitseigenschaften angewiesen", erklärt BSI-Präsident Arne Schönbohm.

Seiner Ansicht nach sind die Händler gefordert: "Sie müssen auch dafür Sorge tragen, dass solche Geräte gar nicht erst in den Markt kommen." Wie sie das bewerkstelligen sollen, verriet der Beamte nicht. Amazon hat die drei genannten Geräte nach Aufforderung durch das BSI vorerst aus dem Sortiment genommen.