{"id":234225,"date":"2020-08-07T00:15:00","date_gmt":"2020-08-06T22:15:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=234225"},"modified":"2022-08-11T08:45:47","modified_gmt":"2022-08-11T06:45:47","slug":"android-vorinstallierte-malware-auf-smartphones-gefunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/08\/07\/android-vorinstallierte-malware-auf-smartphones-gefunden\/","title":{"rendered":"Android: Vorinstallierte Malware auf subventionierten US-Smartphones gefunden"},"content":{"rendered":"

[English<\/a>]Netter Beifang, den Sicherheitsforscher von Malwarebytes auf staatlich gef\u00f6rderten Android Smartphones gefunden haben. Auf den Ger\u00e4ten war Malware vorinstalliert – gratis und unverbindlich, denn der US-Staat hat es bezahlt.<\/p>\n

<\/p>\n

\"\"Die Information d\u00fcmpelt schon einige Tage bei mir im Posteingang – aber solche Themen sind ja eigentlich immer aktuell – zumal US-Pr\u00e4sident Donald Trump den 'Hammer' bez\u00fcglich der chinesischen TikTok-App herausgeholt hat. Und vorinstallierte Malware auf 'wei\u00dfer Ware' in Form von Android-Ger\u00e4ten ist auch nichts neues (siehe Linkliste am Artikelende). <\/p>\n

Vom US-Staat gef\u00f6rdert Smartphones<\/h2>\n

In den USA gibt es vom Staat gef\u00f6rderte Smartphones, die finanziell benachteiligten B\u00fcrgern zur Verf\u00fcgung gestellt werden. Das Ganze l\u00e4uft dort unter dem Begriff 'Assurance Wireless', und entsprechende Ger\u00e4te k\u00f6nnen z.B. von Virgin Mobile bezogen werden. Das soll es auch B\u00fcrgern, die \u00fcber wenig finanzielle Mittel verf\u00fcgen, am digitalen Leben teilzunehmen.<\/p>\n

Der Fund auf Android-Smartphones<\/h2>\n

Sicherheitsforscher von Malwarebytes haben vor einiger Zeit auf Smartphones, die vom US-Staat gef\u00f6rdert und finanziell benachteiligten B\u00fcrgern zur Verf\u00fcgung gestellt werden, vorinstallierte Malware entdeckt<\/a>. Betroffen ist das Smartphone ANS UL40 mit Android-Betriebssystem 7.1.1, das \u00fcber Assurance Wireless von Virgin Mobile bezogen werden kann. <\/p>\n

\"ANS
(ANS UL40 , Quelle: Malwarebytes)<\/p>\n

Ein Nutzer, der ein solches Ger\u00e4t bekommen hat, hat dieses Malwarebytes zur Analyse bereitgestellt. Daher ist aktuell unklar, ob das Ger\u00e4t weiterhin verf\u00fcgbar ist – was aber am betreffenden Sachverhalt nichts \u00e4ndert. Genau wie das UMX U683CL ist auch das ANS UL40 mit einer kompromittierten Settings<\/em>-App und einer Wireless Update<\/em>-App infiziert. <\/p>\n

\n

Paketname: com.android.settings
MD5: 7ADA4AAEA49383499B405E4CE0A9447F
App Name: Einstellungen
Erkennung: Android\/Trojaner.Herunterladen.Wotby.SEK<\/p>\n<\/blockquote>\n

In der App ist ein Trojaner enthalten, wobei die Malwarebytes-Sicherheitsforscher aber im Analysezeitraum der App  keine b\u00f6sartige Aktivit\u00e4t, die von dieser infizierten Settings-App ausgel\u00f6st wurde, feststellen konnten. Einschr\u00e4nkend muss aber konstatiert werden, dass die Sicherheitsforscher auch nicht die Zeit am Ger\u00e4t verbracht haben, die ein typischer Benutzer auf einem mobilen Ger\u00e4t verbringen w\u00fcrde. Es wurde auch keine SIM-Karte in das Ger\u00e4t eingebaut, was sich auf das Verhalten der Malware auswirken k\u00f6nnte. Nichtsdestotrotz gibt es gen\u00fcgend Beweise daf\u00fcr, dass diese Einstellungs-App die M\u00f6glichkeit hat, Apps von einem App-Store eines Drittanbieters herunterzuladen. <\/p>\n

Bei der Wireless Update<\/em>-App sieht die Infektion folgenderma\u00dfen aus:<\/p>\n

\n