Schadsoftware: BSI warnt vor gewissen Smartphones und Tablets
Beim Kauf von Smartphones und Tablets müssen Käufer nicht nur darauf vertrauen, dass die Software dem aktuellen Stand entspricht, sondern auch, dass diese nicht ab Werk mit Schadsoftware ausgeliefert werden. Genau in diesem Punkt warnt das BSI nun vor drei Produkten der Hersteller Krüger & Matz, Ulefone und Blackview.
Großes Gefahrenpotenzial
Konkret geht es um ein Tablet und zwei Smartphones, bei dem das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Vorsicht mahnt: das Tablet Eagle 804 von Krüger & Matz, das Smartphone S8 Pro von Ulefone und das Smartphone A10 von Blackview. Das BSI rät in einer aktuellen Mitteilung vom Gebrauch der drei Geräte ab und stuft die Gefahrenlage als hoch ein.
Software überträgt Daten an Server
Grund hierfür ist, dass beim Eagle 804 das vorinstallierte Android 6 Marshmallow im Auslieferungszustand über eine Schadsoftware mit einem bekannten Command-&-Control-Server Kontakt aufnimmt. Bei den in Testkäufen über Amazon erworbenen Smartphones Ulefone S8 Pro (Firmwareversion F9G62C.GQU.Ulefone.HB.H.SSXSJS5MHMYP1HK.042) und Blackview A10 (Firmwareversion V3EG62A.JKE.HB.H.P3.0711.V3.05_20180711-1021) konnte im verwendeten Android 7 Nougat zwar zunächst keine Schadsoftware festgestellt werden, die Hersteller bieten auf ihrer Website jedoch nur eine Firmware mit niedrigerer Versionsnummer zum Download an, welche die Schadsoftware mit sich führt. Das BSI geht daher davon aus, dass noch Geräte mit der infizierten Firmware ausgeliefert werden oder im Umlauf sind.
Nachladen von Schädlingen möglich
Das BSI beruft sich bei seinen Schilderungen unter anderem auf die Analysen des britischen Entwicklers für Sicherheitssoftware Sophos, welcher bereits im Oktober über Unregelmäßigkeiten bei der Software des Ulefone S8 Pro berichtete. Dabei soll eine als „Andr/Xgen2-CY‟ bezeichnete Malware zum Einsatz gekommen sein, welche ad hoc eine Fülle an Daten vom Gerät an den C&C-Server überträgt. Diese soll den Experten zufolge auch über eine Nachladefunktion verfügen, welche weitere Schädlinge auf das Smartphone bringen kann. Die Gefahr wird auch als hoch eingestuft, da die Schädlinge sich aufgrund der tiefen Implementierung in die Firmware nicht ohne weiteres entfernen lassen.
Hohe Verbindungsanzahl zu externen Server
Der Bundesbehörde liegen darüber hinaus sogenannte Sinkhole-Daten vor, welche pro Tag über 20.000 Verbindungen von verschiedenen IP-Adressen aus Deutschland mit besagtem Server aufweisen. Die Behörde geht daher von einer nicht geringen Verbreitung der genannten infizierten Geräte aus.
„Einmal mehr zeigt sich an diesem Fall ganz deutlich, dass der Preis kein alleiniges Kriterium für eine Kaufentscheidung sein darf. Die Anwenderinnen und Anwender zahlen sonst möglicherweise mit ihren Daten oder durch betrügerische Aktivitäten deutlich drauf.‟, so BSI-Präsident Arne Schönbohm zu den Funden. Doch auch wenn Kunden ein Gerät ohne Schädlinge erhalten haben, sollten sich diese nicht zu sehr in Sicherheit wiegen – es besteht weiterhin die Gefahr, dass der Hersteller mit Firmware-Updates neues Schädlinge auf das Smartphone oder Tablet bringt.
Amazon nimmt Produkte aus dem Sortiment
Nach der Benachrichtigung durch das Bundesamt hat Amazon die drei genannten Geräte aus dem Sortiment genommen. Eine Stichprobe seitens ComputerBase hat ergeben, dass entsprechende Links auf Google zwar noch vorhanden sind, aber ins Leere laufen. Auf anderen Verkaufsportalen wie GearBest ist zumindest das Ulefone S8 Pro weiterhin erhältlich.
Darüber hinaus wurden zwischenzeitlich deutsche Netzbetreiber mittels CERT-Bund Reports über infizierte Geräte in ihren Netzen informiert und gebeten, betroffenen Kunden Informationen zu dem Malware-Befall zukommen zu lassen.