BSI warnt vor Smartphones mit vorinstallierter Malware

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor bestimmten Tablets und Smartphones, die hierzulande vor allem über Online-Plattformen angeboten werden und unter Umständen mit einer vorinstallierten Schadsoftware ausgeliefert werden. Betroffen sind derzeit das Tablet Eagle 804 des Herstellers Krüger&Matz sowie die Smartphones S8 Pro von Ulefone und A10 von Blackview.

Die genannten Produkte waren laut BSI im Januar und Februar unter anderem bei Amazon.de erhältlich. Beim Tablet Eagle 804 wiesen die Sicherheitsexperten bereits im Auslieferungszustand eine Schadsoftware nach. Die nahm mit einem „bekannten Command&Control-Server“ Kontakt auf.

Beim Ulefone S8 Pro sowie dem A10 von Blackview fand das BSI indes keine Schadsoftware auf aktuell ausgelieferten Geräten. Auf den Websites der Hersteller wird nach Angaben der Behörde jedoch ältere Firmware für beide Geräte angeboten, die dieselbe Malware enthält wie das Tablet Eagle 804. Das BSI geht deswegen davon aus, dass frühere Modelle beider Smartphones auch hierzulande mit der Schadsoftware in Umlauf gebracht wurden.

Aus Daten eines Sinkhole, die dem BSI vorliegen, soll zudem hervorgehen, dass jeden Tag mehr als 20.000 unterschiedliche deutsche IP-Adressen auf den Befehlsserver der Malware zugreifen. „Es muss daher von einer größeren Verbreitung von Geräten mit dieser Schadsoftwarevariante ausgegangen werden“, teilte das BSI mit. Die jeweiligen Netzbetreiber seien bereits über infizierte Geräte in ihren Netzen informiert worden, mit der Bitte, die betroffenen Kunden zu benachrichtigen.

Einer Analyse von Sophos zufolge, das als erstes über Infektionen bei Ulefone-S8-Pro-Smartphones berichtet hatte, handelt es sich um die Malware „Andr/Xgen2-CY“. Sie sammelt verschiedene Daten, die eine eindeutige Identifizierung von Smartphones ermöglichen. Über eine Nachladefunktion kann sie demnach weitere Schadprogramme wie Banking-Trojaner einschleusen und ausführen.

Das BSI weist auch darauf hin, dass sich die Malware, das sie in der Firmware verankert ist, nicht entfernen lässt. Da es bisher auch keine Schadsoftware-freie Firmware gebe, seien betroffene Geräte zumindest derzeit unbrauchbar. „Nutzerinnen und Nutzer haben daher keine Möglichkeit, die Geräte zuverlässig zu bereinigen und ohne Schadfunktionalität zu betreiben“, ergänzte das BSI.

„Einmal mehr zeigt sich an diesem Fall ganz deutlich, dass der Preis oder technische Features allein kein Kriterium für eine Kaufentscheidung sein dürfen. Die Anwenderinnen und Anwender zahlen sonst möglicherweise mit ihren Daten oder durch betrügerische Aktivitäten deutlich drauf“, kommentierte BSI-Präsident Arne Schönbohm. Händler müssten zudem „dafür Sorge tragen, dass solche Geräte gar nicht erst in den Markt kommen. Wir haben die Hersteller der Geräte über unsere Erkenntnisse informiert und sie aufgefordert, geeignete Maßnahmen zu treffen, um die Sicherheit ihrer Kundinnen und Kunden wiederherzustellen. Mehr ist dem BSI derzeit nicht möglich.“

Update 1. März

Ulefone hat inzwischen ein Problem bei der Aktualisierung der auf seiner Website vorgehaltenen Firmware eingeräumt. Das Installationspaket soll dort nun ersetzt werden. Betroffene Geräte sollen zudem ein neues Update Over-the-Air erhalten. Darüber hinaus betonte Ulefone, dass inzwischen alle Produkte des Unternehmens von Google zertifiziert seien.