Während die Premiumhersteller auf dem Mobile World Congress gerade wieder ihre neuen Smartphone-Flaggschiffe mit Preisen weit jenseits der Schwelle von 1000 Euro vorstellen, tobt im unteren Preissegment ein immer härterer Wettbewerb und Preiskampf. Zahlreiche Hersteller bieten schon für etwas über 100 Euro Geräte mit Features an, die noch vor zwei bis drei Jahren der Oberklasse vorbehalten waren. Doch manch eines der vermeintlichen Schnäppchen bringt den Käufern auch gleich ungebetene Gäste mit ins Haus, wie jetzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) festgestellt hat. Die Security-Experten haben in der Firmware mehrerer vorwiegend über Onlineplattformen vertriebener Geräte Schadsoftware entdeckt.

So hat das BSI nach eigenen Angaben etwa auf einem über Amazon erworbenen Tablet ‘Eagle 804’ des Herstellers Krüger&Matz einen bereits im Auslieferungszustand vorinstallierten Schädling entdeckt, der sich direkt nach der Aktivierung des Geräts mit einem bekannten Command&Control-Server verbindet. Dadurch erhalten Angreifer Zugang zu Inhalten und Steuerungsfunktionen auf dem Gerät, über die sie etwa Daten abgreifen und weitere Schädlinge nachladen können. Amazon hat gegenüber dem BSI angegeben, die drei genannten Geräte nach der Kontaktaufnahme durch das BSI gegenwärtig aus dem Sortiment genommen zu haben.

Ähnlich unerwünschtes Gepäck bringt auch die von den Herstellern bereitgestellte Firmware der Smartphones ‘Ulefone S8 Pro’ und ‘Blackview A10’ mit. Zwar ist hier auf den derzeit ausgelieferten Geräten eine neuere Firmwareversion ohne die Schädlinge installiert. Das BSI geht aber davon aus, dass zahlreiche ältere Geräte aus dem vergangenen Jahr noch mit der Malware verkauft wurden. Da die neue Version nicht einzeln verfügbar ist, können die Betroffen auch kein Update vornehmen. Und auch eine nachträgliche Entfernung der Schädlinge ist durch deren feste Verankerung in der Firmware nicht möglich. Angesichts dieser Erkenntnisse warnt das BSI davor, die betroffenen Geräte mit verseuchter Firmware weiter zu nutzen und rät allen Anwendern zu besonderer Vorsicht.

Handel in der Pflicht

Zudem legen die Recherchen des BSI nahe, dass es noch zahlreiche andere Geräte mit vorinstallierten Schädlingen geben dürfte. Dabei beziehen sich die Sicherheitsexperten vor allem auf sogenannte Sinkhole-Daten, die dem BSI vorlegen. Diese weisen pro Tag mehr als 20.000 Verbindungen verschiedener IP-Adressen mit dem maliziösen bekannten Command&Control-Server nach. Das BSI hat deshalb die deutschen Netzbetreiber mittels des CERT-Bund Reports über die infizierten Geräte in ihren Netzen informiert und sie gebeten, ihre von den Sicherheitslücken betroffenen Nutzer zu informieren. Darüber hinaus hat das BSI im Internet Informationen und Empfehlungen zusammengestellt, wie sich Käufer der betroffenen Geräte verhalten sollten und wie Kunden die Gefahr verringern können, in ähnliche Fallen zu tappen.

“Einmal mehr zeigt sich an diesem Fall ganz deutlich, dass der Preis oder technische Features allein kein Kriterium für eine Kaufentscheidung sein dürfen. Die Anwender zahlen sonst möglicherweise mit ihren Daten oder durch betrügerische Aktivitäten deutlich drauf”, warnt BSI-Präsident Arne Schönbohm. Neben den Herstellern und Kunden sieht er dabei auch die Händler in der Pflicht: “Sie müssen auch dafür Sorge tragen, dass solche Geräte gar nicht erst in den Markt kommen.”

Eine genauere Beschreibung der in allen drei vom BSI beschriebenen Fällen gefundenen Malware ‘Andr/Xgen2-CY’ und ihrer Gefahren liefert der Security-Anbieter Sophos, der bereits im vergangenen Jahr über entsprechende Infektionen auf den Ulephone-Geräten berichtet hatte. Demnach übermittelt der Schädling sofort verschiedene kennzeichnende Daten des Geräts an den C&C-Server. Anschließend könnten darüber laut Sophos zudem weitere Schadprogramme wie etwa Banking-Trojaner auf den jeweiligen Geräten platziert und ausgeführt werden.