Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Billig-Tablets und Smartphones auf Android-Basis. Auf einem Gerät (Android Tablet Eagle804 des Anbieters Krüger&Matz) wurde eine vorinstallierte Schadsoftware gefunden.
Anzeige
Über das Thema vorinstallierte Schadsoftware auf Android-Geräten aus chinesischer Billig-Produktion hatte ich hier im Blog mehrfach berichtet. Jetzt hat sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Produktwarnung herausgegeben.
Tablet PC mit Schadsoftware vorinstalliert
Auf Tablets und Smartphones, die über Online-Plattformen wie Amazon oder eBay auch in Deutschland gekauft werden können, kann sich vorinstallierte Schadsoftware befinden. Einen solchen Fall hat jetzt Bundesamt für Sicherheit in der Informationstechnik (BSI) an an einem Tablet nachgewiesen.
Fund bei einem Testkauf
Konkret hat das BSI über die Online-Plattform Amazon.de im Januar und Februar 2019 das Tablet Eagle804 des Herstellers Krüger&Matz, das Smartphone S8 Pro des Herstellers Ulefone und das SmartphoneA10 des Herstellers Blackview bestellt und in der Folge analysiert. Dabei konnte nachgewiesen werden, dass das Tablet Eagle 804 im Auslieferungszustand über eine vorinstallierte Schadsoftware mit einem bekannten Command&Control-Server Kontakt aufnimmt.
Anzeige
Das BSI warnt vor dem Einsatz dieses Geräts auf Grundlage von §7 des BSI-Gesetzes und rät allen Anwenderinnen und Anwendern zu besonderer Vorsicht. Im Zuge der Analyse sind zudem weitere Geräte unterschiedlicher Hersteller aufgefallen, für die die auf der jeweiligen Hersteller-Webseite bereitgestellte Firmware die gleiche Schadsoftware enthält.
Bei den Smartphones Ulefone S8 Pro und Blackview A10 konnte im aktuellen Auslieferungszustand (Firmwareversion V3EG62A.JKE.HB.H.P3.0711.V3.05_20180711-1021 (Blackview A10), Firmwareversion F9G62C.GQU.Ulefone.HB.H.SSXSJS5MHMYP1HK.042 (Ulefone S8 Pro)) keine Schadsoftwarenachgewiesen werden.
Die Hersteller bieten jedoch auf ihren Webseiten als einzige Variante eine Firmware mit niedrigerer Versionsnummer zum Download an, in der diese Schadsoftware enthalten ist. Es ist daher davon auszugehen, dass mit diesen Firmware-Versionen ausgelieferte Geräte ebenfalls betroffen sind.
Mittlerweile hat der Hersteller Blackview ein Firmware-Update für das Smartphone A10 bereitgestellt. Das BSI hat das angebotene Update überprüft und seine Unbedenklichkeit bezüglich der Schadsoftware bestätigen können. Das Firmware-Update wird über die Systemeinstellungen des Geräts angeboten, kann aber auch manuell auf der Hersteller-Webseite heruntergeladen werden, so die Info des BSI.
In diesem Kommentar nennt ein Nutzer auch das Wieppo S8 als potentiell betroffen. Der betreffende Anwender hat dazu die App Sophos Mobile Security aus dem Google Play Store heruntergeladen und ausführen lassen.
Ursprünglich hatte die Firma Sophos über entsprechende Infektionen bei Ulefone S8 Pro Geräten berichtet und die Funktionalitäten des Schadprogramms analysiert (siehe unten).
20.000 Geräte in Deutschland betroffen?
Dem BSI liegen zudem sogenannte Sinkhole-Daten vor, die über 20.000 Verbindungen unterschiedlicher deutscher IP-Adressen pro Tag mit diesem maliziösen C&C-Server nachweisen. Es muss daher von einer größeren Verbreitung von Geräten mit dieser Schadsoftwarevariante in Deutschland ausgegangen werden.
Netzbetreiber informiert
Das BSI hat deutsche Netzbetreiber bereits mittels CERT-Bund Reports über infizierte Geräte in deren jeweiligen Netzen informiert. Die Provider wurden gebeten, ihre betroffenen Kunden entsprechend zu benachrichtigen.
Schadsoftware Andr/Xgen2-CY
Die von Sophos als "Andr/Xgen2-CY" bezeichnete Schadsoftware übermittelt ad hoc verschiedene kennzeichnende Daten des Geräts an den C&C-Server und verfügt daneben auch über eine Nachladefunktion. BSI-eigene Analysen haben ergeben, dass eine vorinstallierte, bösartige App Geräteinformationen sammelt und diese an ein entferntes System sendet.
Darüber hinaus meldet die Schadsoftware die Installation und Deinstallation von Apps durch den Benutzer an einen Server. Hierbei handelt es sich um eine Variante des von Sophos beschriebenen Schadprogramms. Zusätzlich verfügt die genannte App über die Möglichkeit, unbemerkt über ein Netzwerk zu kommunizieren und bietet eine Hintertür zur Fernsteuerung des Geräts durch einen Angreifer an. Über diese sind unter anderem der Download sowie die Installation weiterer Schadprogramme möglich. Auf diese Weite könnten weitere Schadfunktionen und -programme wie etwa Banking-Trojaner auf den jeweiligen Geräten platziert und ausgeführt werden.
Eine manuelle Entfernung der Schadsoftware ist aufgrund der Verankerung im internen Bereich der Firmware nicht möglich. Für die Geräte mit maliziösen Firmware-Versionen wurden zum Untersuchungszeitpunkt keine Firmware-Updates angeboten. Nutzerinnen und Nutzer haben daher keine Möglichkeit, die Geräte zuverlässig zu bereinigen und ohne Schadfunktionalität zu betreiben.
Weitere Hinweise des BSI
"Einmal mehr zeigt sich an diesem Fall ganz deutlich, dass der Preis oder technische Features allein kein Kriterium für eine Kaufentscheidung sein dürfen. Die Anwenderinnen und Anwender zahlen sonst möglicherweise mit ihren Daten oder durch betrügerische Aktivitäten deutlich drauf.
Um eine fundierte Kaufentscheidung treffen zu können, sind die Anwenderinnen und Anwender auch auf eine transparente Darstellung der Sicherheitseigenschaften angewiesen. Hier sind die Händler gefordert. Sie müssen auch dafür Sorge tragen, dass solche Geräte gar nicht erst in den Markt kommen.
Wir haben die Hersteller der Geräte über unsere Erkenntnisse informiert und sie aufgefordert, geeignete Maßnahmen zu treffen, um die Sicherheit ihrer Kundinnen und Kunden wiederherzustellen. Mehr ist dem BSI derzeit nicht möglich"
, so BSI-Präsident Arne Schönbohm. Amazon hat die drei genannten Geräte nach dem Hinweis des BSI gegenwärtig aus dem Sortiment genommen.
Käufer sollten an Vertreiber wenden
Das BSI empfiehlt den Käufern, ihre Gewährleistungsansprüche gegenüber dem Händler wahrzunehmen. Was Käuferinnen und Käufer der o.g. Geräte jetzt tun sollten und worauf alle IT-Nutzerinnen und -Nutzer beim Kauf von IT-Geräten beachten sollten, hat das BSI unter www.bsi-fuer-buerger.de zusammengefasst. (via, via)
Ähnliche Artikel:
Android-Backdoor in China-Phones
Billige China-Kracher mit Android-Trojaner inside
Erneut Android-Smartphones mit pre-installed Malware
Triada-Trojaner in Firmware von Billig-Androiden gefunden
China-Phones mit eingebautem Banking-Trojaner
RottenSys-Malware vorinstalliert auf 5 Mio. Smartphones
Android Smartphone mit Ad- und Ransomware gefunden
App prüfen auf werksseitige Trojaner in Android-Smartphones
Anzeige
Wer wirklich noch ein Tablet mit Android 6.0 kauft dem ist nicht mehr zu helfen. Auf der Homepage des Herstellers wird dieses Tablet (Eagle804 des Herstellers Krüger&Matz) auch nicht mehr angeboten.
Wer sich die Details zu den Amazon angeboten anschauen möchte kann das noch über den Google Cache machen.
Das von solchen Problemen nur Billige Geräte Betroffen sind schließe ich mal aus.
Lenovo hat auch schon Rootkits im Bios des Rechners mit ausgeliefert. Das wurde dann dem Endkonsumenten unter dem Harmlosen Begriff "Service Engine" verkauft.
Teilweise werden ja auch Industrieanlagen mit Schadsoftware ausgeliefert.
Das ist zum Beispiel TSMC auch schon so passiert. Die folge waren Produktionsausfälle.
Vielleicht sollte das BSI auch mal Geräte von Premiumherstellern auf kritische Sicherheitsprobleme untersuchen.
Das nächste Handy/Smartphone wird ausschließlich nach LineageOS Kompatibilität gekauft, und gut is ;-)
Huawei, 5G, weil Europa die Entwicklung verpennt! Mal abwarten was die so reinbasteln.
Positiver Trend: Daimler und BMW entwickeln gemeinsam die digitale Zukunft was autonomes fahren angeht.
Noch positiver wäre, wenn sich alle "europäischen" Automobilhersteller zusammen tun würden, gegen Google und den Rest der Welt.
"Krüger&Matz".
Ich mein solche chinesischen Namen sind doch per se verdächtig.
polnische
BSI-eigene Analysen haben ergeben, dass eine vorinstallierte, bösartige App Geräteinformationen sammelt und diese an ein entferntes System sendet.
Jetzt hat sogar das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Produktwarnung herausgegeben.
Solte dann nicht das BSI auch eine Warnung für PC's/Laptop's usw. mit vorinstalliertem Win 10 herausgegeben ?
Ich meine ja nur… .
:-)