Smartphones, Tablets & TV-Boxen: Billige Android-Geräte mit Malware ausgeliefert

Marc Stöckel
98 Kommentare
Smartphones, Tablets & TV-Boxen: Billige Android-Geräte mit Malware ausgeliefert
Bild: pixabay.com / mammela

Wer besonders preisgünstige Android-Geräte wie Smartphones, Tablets oder TV-Boxen unbekannter chinesischer Hersteller kauft, erhält hin und wieder gleich eine vorinstallierte Malware dazu. Sicherheitsforscher haben jüngst eine umfangreiche Kampagne aufgedeckt – Tausende von Endgeräten waren ab Werk mit einer Backdoor infiziert.

200 verschiedene Modelle ab Werk infiziert

Aufgedeckt wurde die Malware-Kampagne namens Badbox von Forschern des Cybersicherheitsunternehmens Human Security. Sie spürten nach eigenen Angaben weltweit mehr als 74.000 infizierte Android-Geräte auf, verteilt auf über 200 verschiedene Modelle – darunter Smartphones, Tablets und TV-Boxen von einem oder möglicherweise auch mehreren chinesischen Herstellern. Viele davon seien auch in Schulen innerhalb der USA eingesetzt worden.

Dabei schreiben die Sicherheitsforscher der Möglichkeit, die Malware vor der Auslieferung an Endkunden auf den Zielgeräten zu installieren, Lücken in der Lieferkette zu. „Irgendwann zwischen der Herstellung dieser Produkte und ihrer Auslieferung an Reseller, physische Einzelhandelsgeschäfte und E-Commerce-Lager wird eine Firmware-Backdoor installiert und die Produktverpackungen werden in Plastik versiegelt“, schreiben die Human-Security-Forscher in ihrem Bericht (PDF). Dadurch sei es den Angreifern möglich, die Geräte auf spätere betrügerische Aktivitäten vorzubereiten.

Backdoor ermöglicht Werbebetrug und mehr

In der jeweiligen Firmware betroffener Geräte sei eine Backdoor vorinstalliert, die auf einer Malware namens Triada basiere. Diese stelle nach der Inbetriebnahme durch den Anwender automatisch eine Verbindung zu einem von den Angreifern kontrollierten Command-and-Control-Server her und nehme daraufhin weitere Befehle entgegen.

Die Backdoor erfülle letztendlich mehrere verschiedene Zwecke. So sei es den dahinterstehenden Akteuren damit etwa möglich, auf den Zielgeräten Proxy-Dienste bereitzustellen, gefälschte WhatsApp- und Gmail-Konten zu generieren und weitere Schadsoftware nachzuladen und auszuführen. Über ein spezielles Modul, das die Forscher Peachpit nennen, sollen die Angreifer außerdem ein ganzes Netzwerk für Werbebetrug aufgebaut haben.

Peachpit rufe über eine versteckte WebView im Hintergrund Werbeanzeigen ab und führe Klicks darauf aus, um Einnahmen zu generieren, ohne dass der Nutzer davon etwas mitbekomme. Der Werbebetrug findet aber offenkundig nicht nur auf jenen Endgeräten statt, die ab Werk via Badbox mit der Triada-basierten Backdoor infiziert sind. Stattdessen wurde Peachpit den Forschern zufolge auch über Apps verbreitet – eine Liste der betroffenen Anwendungen ist am Ende des Human-Security-Berichts zu finden. Sie spürten bis zu 121.000 Android- und 159.000 iOS-Geräte auf, die gleichzeitig aktiv waren und in der Spitze rund vier Milliarden Werbeanzeigen pro Tag abriefen.

Markenprodukte sind wohl nicht betroffen

All jene, die sich in nächster Zeit ein neues Android-Gerät anschaffen wollen, sind gut damit beraten, eher auf Modelle bekannter und etablierter Marken zurückzugreifen. Von einer Malware-Infektion betroffen sind den Sicherheitsforschern zufolge fast ausschließlich Modelle kaum bekannter chinesischer Hersteller aus dem unteren Preissegment.

Die Chance, ab Werk infizierte Smartphones, Tablets oder TV-Boxen nachträglich von der Malware zu befreien, schätzen die Forscher für die meisten Endbenutzer als sehr gering ein – die Schadsoftware befinde sich auf einer schreibgeschützten Partition der jeweiligen Gerätefirmware. Der Rat lautet daher: Betroffene Geräte aussortieren. Eine Liste potenziell betroffener Modelle haben die Forscher allerdings nicht geteilt, sodass dem Otto-Normalverbraucher im Grunde nur die Option bleibt, besonders günstig erworbene Android-Geräte im Zweifel zu entsorgen, sofern es sich nicht um ein Markenprodukt handelt.