Warnung vor IT-Geräten mit vorinstallierter Schadsoftware

Auf Tablets und Smartphones, die über Online-Plattformen auch in Deutschland gekauft werden können, kann sich ­vorinstallierte Schadsoftware befinden. Das hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) zunächst an einem Tablet ­nachgewiesen, im Zuge der Analyse aber an weiteren Geräten festgestellt. Auch wenn die Hersteller teilweise reagiert haben und nun sichere Updates anbieten, wird Anwendern zu „besonderer Vorsicht“ geraten.

Das Bundesamt hatte im Januar und ­Februar 2019 über eine Onlineplattform das Tablet „Eagle 804“ des Herstellers Krüger&Matz, das Smartphone „S8 Pro“ von Ulefone und das Smartphone „A10“ von Blackview bestellt und in der Folge analysiert. Dabei konnte nachgewiesen werden, dass das Tablet „Eagle 804“ im Auslieferungszustand über eine vorinstallierte Schadsoftware mit einem Command & Control (C&C)-Server Kontakt aufnimmt – also einem zentralen Computer, der Befehle an ein sogenanntes Botnet absetzt und anschließend die zurückgesandten Berichte der ausgewählten Computer empfängt. Bei den Smartphones „S8 Pro“ und „A10“ konnte dagegen im aktuellen Auslieferungszustand keine Schadsoftware nachgewiesen werden. Die Hersteller haben jedoch auf ihren Webseiten als einzige Variante eine Firmware mit niedrigerer Versionsnummer zum Download angeboten, in der diese Schadsoftware enthalten war. „Es ist daher davon auszugehen, dass mit diesen Firmwareversionen ausgelieferte Geräte ebenfalls betroffen sind“, teilt das BSI mit.

Größere Verbreitung?
Ursprünglich hatte die Firma Sophos über entsprechende Infektionen bei „S8 Pro“-Geräten berichtet und die Funktionalitäten des Schadprogramms analysiert. Dem BSI liegen zudem Daten vor, die mehr als 20 000 Verbindungen unterschiedlicher deutscher IP-Adressen pro Tag mit diesem boshaften C&C-Server nachweisen. Es muss daher laut BSI von einer größeren Verbreitung von Geräten mit dieser Schadsoftwarevariante in Deutschland ausgegangen werden. Das BSI informierte deutsche Netzbetreiber über infizierte Geräte.
Die von Sophos als „Andr/Xgen2-CY“ bezeichnete Schadsoftware übermittelt ad hoc verschiedene kennzeichnende Daten des Geräts an den C&C-Server und verfügt daneben auch über eine Nachladefunktion. Darüber könnten weitere Schadprogramme wie etwa Banking-Trojaner auf den jeweiligen Geräten platziert und ausgeführt werden, berichtet das Bundesamt. Eine manuelle Entfernung der Schadsoftware sei aufgrund der Verankerung im internen Bereich der Firmware nicht möglich. Für die Geräte mit aggressiven Firmwareversionen wurden zum Untersuchungszeitpunkt keine Firmwareupdates angeboten. „Nutzerinnen und Nutzer haben daher keine Möglichkeit, die Geräte zuverlässig zu bereinigen und ohne Schadfunktionalität zu betreiben.“
BSI-Präsident Arne Schönbohm: „Um eine fundierte Kaufentscheidung treffen zu können, sind die Anwenderinnen und Anwender auch auf eine transparente Darstellung der Sicherheitseigenschaften angewiesen. Hier sind die Händler gefordert. Sie müssen auch dafür Sorge tragen, dass solche Geräte gar nicht erst in den Markt kommen.“ Das Bundesamt habe die Hersteller der Geräte aufgefordert, geeignete Maßnahmen zu treffen, um die Sicherheit ihrer Kunden wiederherzustellen.
Dieser Aufforderung sind die Hersteller teilweise nachgekommen. Blackview stellt ein Firmware-Update für das Smartphone „A10“ bereit. Das BSI hat das angebotene Update bereits überprüft und es – bezüglich der Schadsoftware – als unbedenklich eingestuft. Das Firmware-Update wird über die Systemeinstellungen des Geräts angeboten, kann aber auch manuell auf der Hersteller-Webseite heruntergeladen werden.  Auch Ulefone hat ein Firmware-Update im Angebot. Es wird automatisch an das „S8 Pro“ ausgeliefert.
Was Käufer tun sollten und worauf alle Nutzer beim Kauf von IT-Geräten achten sollten, hat das BSI im Internet (www.bsi-fuer-buerger.de) zusammengefasst.

www.bsi.bund.de