Bei 40 günstigen Android-Smartphones ist ein Trojaner ab Werk inklusive

Sicherheitsforscher listen über 40 Android-Smartphones auf, die einen von Angreifern modifizierbaren Trojaner an Bord haben. Dieser soll sich nicht ohne Weiteres entfernen lassen.

In Pocket speichern vorlesen Druckansicht 416 Kommentare lesen
Bei 40 günstigen Android-Smartphones ist ein Trojaner ab Werk inklusive

(Bild: Pixabay)

Lesezeit: 2 Min.

Wer ein günstiges Android-Smartphone besitzt oder zu kaufen plant, sollte einen Blick auf eine Liste vom Hersteller von Anti-Viren-Software Dr. Web werfen. Dort finden sich Geräte von verschiedenen, vorwiegend chinesischen Herstellern, die den Sicherheitsforschern zufolge einen vorinstallierten Trojaner mitbringen.

In dieser Liste stehen mehr als 40 von Werk aus infizierte Geräte. Dr. Web zufolge könnten aber noch mehr Smartphones mit dem Trojaner verseucht sein. Ob der Schädling ab Werk aktiv ist und was er macht, ist noch unbekannt.

Der Android.Triada.231 getaufte Schädling soll direkt mit der Firmware verwoben sein. So lässt er sich nur mit viel Aufwand entfernen. Dafür muss man das Smartphone komplett zurücksetzen und ein neues, sauberes Android-Image installieren, erläutern die Sicherheitsforscher.

Um sein Schadenswerk zu starten, soll sich der Trojaner im Systemprozess Zygote von Android verankern. Das ist eine Art Mutterprozess, der allen Apps bestimmte Systemressourcen zur Verfügung stellt. Die dafür notwendigen Root-Rechte soll er sich auf nicht näher beschriebenen Wegen erschleichen. In dieser Position soll er laufende Apps manipulieren und zusätzliche Module für weitere Funktionen herunterladen können. So könnte der Schädling beispielsweise Banking-Apps ausspionieren, erläutert Dr. Web.

Am Beispiel des im Dezember 2017 angekündigten Smartphones M9 von Leagoo zeigen die Sicherheitsforscher, wie der Trojaner auf das Gerät kommt. Ihnen zufolge bekommt der Gerätehersteller die manipulierte Firmware von einem externen Softwareentwickler. Dazu soll es noch bestimmte Anweisungen geben, um Code in Systembibliotheken zu schreiben.

Offenbar überprüft Leagoo die Software nicht und bringt die Geräte so in den Handel. Ob Hersteller und Softwarelieferant unter einer Decke stecken, ist derzeit nicht bekannt. Dr. Web gibt an, verschiedene Reseller kontaktiert zu haben.

[UPDATE 05.03.2018 13:35 Uhr]

Stelle, an der der Trojaner ansetzt, im Fließtext angepasst.

tipps+tricks zum Thema:

(des)