{"id":310557,"date":"2025-04-12T00:06:29","date_gmt":"2025-04-11T22:06:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=310557"},"modified":"2025-04-11T10:40:51","modified_gmt":"2025-04-11T08:40:51","slug":"android-smartphones-mit-vorinstallierter-triada-malware-gefunden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/04\/12\/android-smartphones-mit-vorinstallierter-triada-malware-gefunden\/","title":{"rendered":"Android Smartphones mit vorinstallierter Triada-Malware gefunden; Stalker-Ware will Passwort zur Deinstallation"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/android.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/04\/12\/android-smartphones-found-with-pre-installed-triada-malware-stalkerware-wants-password-to-uninstall\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Noch ein kleiner Nachtrag zum Thema Sicherheit bei Android. Vor einiger Zeit wurden erneut Billig-Android-Smartphones gefunden, auf denen die Triada-Malware vorinstalliert war. Der Remote Access-Trojaner (RAT) zieht pers\u00f6nliche Daten ab. Die Kampagne hat vor allem russische Opfer getroffen, wie Kasperski mitteilte. Zudem wurde eine Stalker-Ware als App gefunden, die ein Passwort zur Deinstallation fordert.<\/p>\n<h2><!--more--><br \/>\nTrida-Malware auf Android-Phones<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/40272b43529f4dfea7eb79045bc98f06\" alt=\"\" width=\"1\" height=\"1\" \/>Dass Android-Ger\u00e4te in der Lieferkette mit Schadsoftware infiziert werden k\u00f6nnen, ist ja bereits mehrfach bekannt geworden. Es waren meist billige Android-Smartphones von No-Name-Anbietern. Nun ist mir Anfang April 2025 neue Berichte \u00fcber einen solchen Vorfall untergekommen. The Hacker News hat das Thema <a href=\"https:\/\/thehackernews.com\/2025\/04\/triada-malware-preloaded-on-counterfeit.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> aufgegriffen, Bleeping Computer berichtete <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/counterfeit-android-devices-found-preloaded-with-triada-malware\/\" target=\"_blank\" rel=\"noopener\">hier<\/a>.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/26dyCr67\/image.png\" alt=\"Android devices with Trida malware\" width=\"589\" height=\"587\" \/><\/p>\n<p>\u00d6ffentlich gemacht haben dies Experten von Kaspersky (<a href=\"https:\/\/www.kaspersky.ru\/about\/press-releases\/novaya-versiya-triada-kradyot-kriptovalyutu-akkaunty-v-messendzherah-i-podmenyaet-nomera-telefonov-vo-vremya-zvonkov\" target=\"_blank\" rel=\"noopener\">russischer Bericht<\/a>). Diese berichten, auf eine neue Version des Triada-Trojaners gesto\u00dfen zu sein, die auf Tausenden von neuen Android-Ger\u00e4ten vorinstalliert wurde. Die Malware wird nach dem Einrichten des Smartphones aktiv und erm\u00f6glicht Bedrohungsakteuren, Daten zu stehlen.<\/p>\n<p>Es hei\u00dft,\u00a0dass diese Kampagne, mit mindestens 2.600 best\u00e4tigten Infektionen zwischen dem 13. und 27. M\u00e4rz 2025, vor allem russische Nutzer betrifft. Die Erkenntnis hat man wohl durch Kaspersky-Tools f\u00fcr mobile Ger\u00e4tesicherheit gewonnen.<\/p>\n<p>Die infizierten\u00a0Smartphone-Modelle wurden wohl in Online-Shops zu verg\u00fcnstigten Preisen angeboten. Obigem Tweet zufolge haben die Urheber der Kampagne bereits Beute machen k\u00f6nnen, indem 270.000 US-Dollar Guthaben in Form von Crypto-Geld von Opfern abgezogen wurden.<\/p>\n<p>Google weist darauf hin, dass die von Triada infizierten Android-Ger\u00e4te nicht Play Protect-zertifiziert sind und dass die Nutzer durch Google Play Protect vor Crocodilus und TsarBot gesch\u00fctzt sind. The Hacker News zitiert einen Google Sprecher mit: \"Bei den infizierten Ger\u00e4ten handelt es sich um Android Open Source Project-Ger\u00e4te, nicht um Android OS- oder Play Protect-zertifizierte Android-Ger\u00e4te\", so der Sprecher. \u201eWenn ein Ger\u00e4t nicht Play Protect-zertifiziert ist, hat Google keine Aufzeichnungen \u00fcber die Ergebnisse von Sicherheits- und Kompatibilit\u00e4tstests. Play Protect-zertifizierte Android-Ger\u00e4te werden umfangreichen Tests unterzogen, um die Qualit\u00e4t und die Sicherheit der Nutzer zu gew\u00e4hrleisten.\"<\/p>\n<h2>Android Stalker-Ware App will Deinstallations-Passwort<\/h2>\n<p>Ein anderes Thema ist eine gefundene Android-App, die unter der Kategorie Stalker-Ware rangiert. Diese will ein Passwort zur Deinstallation, wie nachfolgender Tweet auf X offen legt.<\/p>\n<p><a href=\"https:\/\/techcrunch.com\/2025\/04\/03\/this-sneaky-android-spyware-needs-a-password-to-uninstall-heres-how-to-remove-it-without-one\/\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/htp9BFvm\/image.png\" alt=\"Android stalker ware required uninstall password\" width=\"597\" height=\"587\" \/><\/a><\/p>\n<p>Techcrunch hat den Sachverhalt im Beitrag\u00a0<a href=\"https:\/\/techcrunch.com\/2025\/04\/03\/this-sneaky-android-spyware-needs-a-password-to-uninstall-heres-how-to-remove-it-without-one\/\" target=\"_blank\" rel=\"noopener\">This sneaky Android spyware needs a password to uninstall. Here's how to remove it without one<\/a> \u00f6ffentlich gemacht. Die Redaktion von TechCrunch ist auf eine App zur \u00dcberwachung des Android-Smartphones gesto\u00dfen, die zur Deinstallation ein Kennwort erfordert.<\/p>\n<p>Die Spyware-App, deren Namen Techcrunch nicht nennt, hindert betroffene Besitzer von Android-Ger\u00e4ten daran, die App zu entfernen. Das Kennwort f\u00fcr die Deinstallation dieser Spyware wird von demjenigen festgelegt, der sie installiert hat.<\/p>\n<p>TechCrunch hat in Tests herausgefunden, dass der Neustart eines betroffenen Android-Ger\u00e4ts in den \"abgesicherten Modus\" das Laden von Drittanbieter-Apps verhindert. Dadurch k\u00f6nnten Betroffenen die Spyware-App deinstallieren, ohne dass die Passwortabfrage erscheint.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch ein kleiner Nachtrag zum Thema Sicherheit bei Android. Vor einiger Zeit wurden erneut Billig-Android-Smartphones gefunden, auf denen die Triada-Malware vorinstalliert war. Der Remote Access-Trojaner (RAT) zieht pers\u00f6nliche Daten ab. Die Kampagne hat vor allem russische Opfer getroffen, wie Kasperski &hellip; <a href=\"https:\/\/borncity.com\/blog\/2025\/04\/12\/android-smartphones-mit-vorinstallierter-triada-malware-gefunden\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426],"tags":[4308,1018,4328],"class_list":["post-310557","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","tag-android","tag-malware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310557","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=310557"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310557\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=310557"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=310557"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=310557"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}