BSI warnt vor Schadsoftware in Neugeräten

Vorinstallierte Schadsoftware auf neuen Tablets und Smartphones, die vor allem über Online-Plattformen verkauft wurden: Nach einer Warnung der Behörde BSI hat Amazon den Verkauf betroffener Geräte eingestellt. Es handelt sich um Geräte des polnischen Anbieters Krüger&Matz und der beiden chinesischen Hersteller Ulefone und Blackview.

Immer wieder gelingt es Hackern, Schadsoftware selbst auf fabrikneue Computer aufzuspielen. Was da schief läuft in den meist chinesischen Fabriken, wer die Hintermänner sind und wie es sein kann, dass irgendwo zwischen Fertigungsstraße, dem Transport nach Europa und der Auslieferung aus einem deutschen Logistikzentrum zum Kunden sich Dritte Zugang zu Tablets und Smartphones verschaffen und die Geräte manipulieren, erfährt man nicht. Nur die Systeme der IT-Sicherheitshersteller, wie jüngst bei Sophos, schlagen Alarm. Dann warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Nutzer, wie im jüngsten Fall. Konkret hat das BSI über die Online-Plattform Amazon im Januar und Februar 2019 das Tablet Eagle 804 des polnischen Herstellers Krüger&Matz, das Smartphone S8 Pro des chinesischen Herstellers Ulefone und das Smartphone A10 des ebenfalls aus China stammenden Herstellers Blackview bestellt und die Geräte analysiert. Dabei konnte nachgewiesen werden, dass das Tablet Eagle 804 im Auslieferungszustand über eine vorinstallierte Schadsoftware mit einem bekannten Command&Control-Server Kontakt aufnimmt - für den Nutzer unbemerkt.

Bei den Smartphones Ulefone S8 Pro und Blackview A10 konnte im aktuellen Auslieferungszustand gewisser Firmwareversionen zwar keine Schadsoftware nachgewiesen werden. Die Hersteller bieten jedoch auf ihren Webseiten als einzige Variante eine Firmware mit niedrigerer Versionsnummer zum Download an, in der diese Schadsoftware enthalten ist. Es ist daher davon auszugehen, dass mit diesen Firmwareversionen ausgelieferte Geräte ebenfalls betroffen sind.

Dem BSI liegen zudem sogenannte Sinkhole-Daten vor, die über 20.000 Verbindungen unterschiedlicher deutscher IP-Adressen pro Tag mit diesem maliziösen C&C-Server nachweisen. Es muss daher von einer größeren Verbreitung von Geräten mit dieser Schadsoftwarevariante in Deutschland ausgegangen werden. Das BSI hat deutsche Netzbetreiber bereits über infizierte Geräte in deren jeweiligen Netzen informiert. Die Provider wurden gebeten, ihre betroffenen Kunden entsprechend zu benachrichtigen.

Die von Sophos als "Andr/Xgen2-CY" bezeichnete Schadsoftware übermittelt ad hoc verschiedene kennzeichnende Daten des Geräts an den C&C-Server und verfügt daneben auch über eine Nachladefunktion, mit der weitere Schadprogramme wie etwa Banking-Trojaner auf den jeweiligen Geräten platziert und ausgeführt werden können. Das Problem bei Andr/Xgen2-CY: Eine manuelle Entfernung der Schadsoftware ist aufgrund der Verankerung im internen Bereich der Firmware nicht möglich. Für die Geräte mit maliziösen Firmwareversionen wurden zum Untersuchungszeitpunkt keine Firmwareupdates angeboten. Kunden haben daher keine Möglichkeit, die Geräte zuverlässig zu bereinigen und ohne Schadfunktionalität zu betreiben.

"Einmal mehr zeigt sich an diesem Fall ganz deutlich, dass der Preis oder technische Features allein kein Kriterium für eine Kaufentscheidung sein dürfen", sagt das BSI. Wer auf billig setzt, zahlen sonst möglicherweise mit seinen Daten oder muss mit betrügerischen Aktivitäten rechnet. Allerdings gab es in der Vergangenheit auch schon Fälle, wo Smartphones von Markenherstellern mit Schadsoftware ab Werk ausgeliefert wurden. Bei hochpreisigen Spitzengeräten ist eine solche Gefahr meist sehr gering. Aber nicht jeder kann oder will viel Geld für ein Spitzenmodell ausgeben.

Hier sind vor allem die Händler gefordert. Sie müssten laut BSI dafür Sorge tragen, dass solche Geräte gar nicht erst in den Markt kommen. "Wir haben die Hersteller der Geräte über unsere Erkenntnisse informiert und sie aufgefordert, geeignete Maßnahmen zu treffen, um die Sicherheit ihrer Kundinnen und Kunden wiederherzustellen. Mehr ist dem BSI derzeit nicht möglich", so BSI-Präsident Arne Schönbohm. Daraufhin hat Amazon den Verkauf der vom BSI bemängelten drei genannten Geräte gestoppt und sie aus dem Sortiment genommen.

Antivirensoftware schützt vor Hackern und ihren perfiden Methoden und kann hier zum sofortigen Einsatz heruntergeladen werden.



Bildquelle: Krüger&Matz

Die mit einem * markierten Felder sind Pflichtfelder.