von Robert Klatt •
Sicherheitsexperten haben bei über 40 Android-Smartphones Malware entdeckt, die ab Werk vorinstalliert ist und sich nur schwer entfernen lässt.
Das russischen Unternehmen Doctor Web bietet Antiviren-Software und IT-Sicherheitslösungen an. Nun haben Sicherheitsforscher der Firma eine Liste mit Android-Smartphones veröffentlicht, bei deren Analyse sie im Auslieferungszustand vorinstallierte Malware gefunden haben. Es handelt sich dabei zum größten Teil um Geräte der unteren und mittleren Preisklasse verschiedener chinesischer Hersteller. Betroffen sind unteranderem Smartphones von Leagoo, ARK, Zopo, UHANS, Doogee, Tecno, Homtom, Umi, Kiano, iLife, Mito, Vertex, myPhone, Advan, STF, Tesla, Cubot, EXTREME, Haier, Cherry, NOA, Pelitt, Prestigio und BQ. Das Unternehmen weist jedoch darauf hin, dass es sich dabei aller Wahrscheinlichkeit nach nicht um eine komplette Liste handelt, sondern, dass noch weitere Smartphones anderer Hersteller betroffen sind.
Was genau die Schadsoftware auf den Smartphones macht ist bisher unbekannt. Da die Malware mit dem Namen Android.Triada.231 stark mit der Firmware verbunden ist, kann sie nur mit großen Aufwand und technischen Fachwissen von den betroffenen Geräten entfernt werden. Doctor Web erklärte, dass dies nur klappt, wenn man das Smartphone vollständig zurücksetzt und ein neues sauberes Android-Image installiert.
Die Experten des Antiviren-Herstellers erklärten, dass der Trojaner in den Systemprozess Zygote von Android integriert wurde. Der Prozess Zygote ist dafür verantwortlich, allen anderen Apps Systemressourcen wie Arbeitsspeicher zuzuteilen. Da der Prozess über Root-Rechte verfügt, kann er selbstständig ohne das Wissen des Nutzers neue Module installieren. Die Malware kann so beispielsweise eine weitere Funktion installieren, die es ihr erlaubt, Daten von Online-Banking-Apps auszulesen.
Die Sicherheitsforscher erklären am Beispiel des M9 Smartphones von Leagoo, wie die Schadsoftware auf das Gerät kommt. Sie sind der Meinung, dass der Gerätehersteller nicht selbst dafür verantwortlich ist, sondern dass die manipulierte Firmware von einem externen Zulieferer erstellt wurde. Dafür spricht auch, dass die selbe Schadsoftware auf einer Vielzahl von Geräten unterschiedlicher Hersteller gefunden wurde. Zusätzlich enthält die Firmware Anweisungen, die Code in die Systembibliotheken der infizierten Geräte einschleusen.
Obwohl die Hersteller den Trojaner vermutlich nicht selber integriert haben, muss den Firmen trotzdem Versagen im Bereich der Sicherheit vorgeworfen werden. Es ist offensichtlich, dass die Software nicht überprüft wurde, bevor die Geräte auf den Markt geworfen wurden. Es ist daher nicht auszuschließen, dass die Hersteller zumindest davon gewusst haben müssen, dass ein Trojaner auf ihren Smartphones installiert ist.