BSI warnt vor vorinstallierter Schadsoftware auf Billig-Smartphones und Tablets
Das BSI hat auf einem Tablet vorinstallierte Schadsoftware gefunden, die Kontakt mit einem Kontrollserver aufbaut. Auch Smartphone-Firmware ist betroffen.
- Keywan Tonekaboni
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor dem Einsatz eines Tablet- und zweier Smartphone-Modelle gewarnt. Bei dem Tablet Eagle 804 von Krüger&Matz fand das BSI eine vorinstallierte Schadsoftware, die mit einem bekannten Kontrollserver Kontakt aufnimmt. Bei den Smartphones Ulefone S8 Pro und Blackview A10 fand das BSI zwar keine Schadsoftware auf den Geräten selbst, dafür aber in den angebotenen Firmware-Downloads der Hersteller. Alle Geräte kaufte das BSI laut eigenen Angaben in diesem Jahr auf Amazon.
Die Schadsoftware wird von Sophos als "Andr/Xgen2-CY" geführt und übermittelt diverse Gerätedaten an den sogenannten Command-&-Control-Server. Darüber kann die Schadsoftware auch weitere Funktionen wie einen Banking-Trojaner nachladen, heißt es in der Mitteilung des BSI. Die Hersteller würden derzeit keine Updates oder bereinigten Firmwareversionen ohne Schadsoftware anbieten. Nutzer hätten auch keine Möglichkeit die Schadsoftware selber zu bereinigen, da diese im geschützten Bereich des Android-Systems abgelegt ist.
(Bild: Screenshot)
Das Bundesamt habe die Hersteller informiert, aber die Käufer könnten diese Geräte derzeit nicht ohne Schadfunktionalität nutzen. Amazon erklärte gegenüber dem BSI die betroffenen Geräte aktuell nicht mehr anzubieten. Heise online konnte aber einen gesponsorten Eintrag zum S8 Pro auf Amazon finden.
Täglich 20.000 Anfragen aus Deutschland
Auch wenn bei den getesteten Smartphones keine Schadsoftware vorinstalliert war, vermutet das BSI, dass solche im Handel waren. Dies legen Protokolldaten eines DNS-Sinkhole nahe, wo täglich 20.000 Zugriffsversuche auf den Kontrollserver registriert wurden. Auf einen Sinkhole verweisen DNS-Anfragen nach bekannten schädlichen Domains. Statt der IP des schädlichen Servers wird diejenige des Sinkholes geliefert und die Verbindungsanfrage dorthin umgeleitet. Die dort protokollierten IPs der Nutzer meldet das BSI im Rahmen des CERT-Bund an die Provider, damit diese ihre Kunden benachrichtigen können.
Kunden empfiehlt das BSI beim Kauf auch auf Sicherheits-Aspekte zu achten. "Um eine fundierte Kaufentscheidung treffen zu können, sind die Anwenderinnen und Anwender auch auf eine transparente Darstellung der Sicherheitseigenschaften angewiesen", nimmt BSI-Präsident Arne Schönbohm die Anbieter in die Pflicht: "Hier sind die Händler gefordert. Sie müssen auch dafür Sorge tragen, dass solche Geräte gar nicht erst in den Markt kommen." Das BSI empfiehlt Tablet und Smartphones nur zu kaufen, wenn eine zweijährige Bereitstellung von Updates garantiert werde. Dies bieten aber nicht alle Hersteller, wie die c't im Update-Check für Android zeigte. (ktn)
