China-Phones mit eingebautem Banking-Trojaner

Käufer billiger Android-Smartphones aus China leben gefährlich. Schon wieder sind 40 Gerätemodellen mit einem eingebauten Banking-Trojaner gefunden worden.


Anzeige

Die Info stammt von Dr. Web, einem russischen Sicherheitsspezialisten, der eine Sammlung an günstigen Android-Smartphone-Modellen untersucht hat. Gemäß dieser Meldung vom 1. März 2018 wurde bereits Mitte 2017 der Trojaner Android.Triada.231 in der Firmware von günstigen China Android-Smartphones gefunden (siehe auch mein Beitrag Triada-Trojaner in Firmware von Billig-Androiden gefunden).

Seit dieser Zeit wächst die Liste der betroffenen Geräte und ist inzwischen auf über 40 Modelle angewachsen. Nun hat man zum 1. März 2018 eine Analyse zu Android.Triada.231, einer der gefährlichen Android.Triada-Trojaner vorgelegt.

Zygote-Android-Systemkomponente infiziert

Diese Trojaner infizieren den Prozess der wichtigen Zygote-Android-Systemkomponente. Dieser Prozess wird verwendet, um alle Anwendungen zu starten. Sobald der Trojaner in dieses Modul injiziert wurde, kann er in in andere laufende Anwendungen eindringen. Auf diese Weise erhalten sie die Möglichkeit, verschiedene bösartige Aktivitäten ohne Benutzereingriff auszuführen: Sie laden heimlich Software herunter und starten sie.

Bereits in der Firmware enthalten

Das Hauptmerkmal von Android.Triada.231 ist, dass es Cyber-Kriminellen gelungen ist, diesen Schädling in die libandroid_runtime.so-Systembibliothek zu injizieren. Sie verteilen den Trojaner nicht als eigenständiges Programm oder App. Vielmehr wird der Trojaner über die Firmware der befallenen Geräte verteilt. Anwender erhalten ihre Geräte bereits infiziert aus der Box. Laut Dr. Web sind folgende China-Phones mit dem Trojaner infiziert:

  • Leagoo M5  * bitte bei den Legoo-Geräten den Nachtrag 1 beachten
  • Leagoo M5 Plus
  • Leagoo M5 Edge
  • Leagoo M8
  • Leagoo M8 Pro
  • Leagoo Z5C
  • Leagoo T1 Plus
  • Leagoo Z3C
  • Leagoo Z1C
  • Leagoo M9
  • ARK Benefit M8
  • Zopo Speed 7 Plus
  • UHANS A101
  • Doogee X5 Max
  • Doogee X5 Max Pro
  • Doogee Shoot 1
  • Doogee Shoot 2
  • Tecno W2
  • Homtom HT16
  • Umi London
  • Kiano Elegance 5.1
  • iLife Fivo Lite
  • Mito A39
  • Vertex Impress InTouch 4G
  • Vertex Impress Genius
  • myPhone Hammer Energy * bitte den Nachtrag 2 beachten!
  • Advan S5E NXT
  • Advan S4Z
  • Advan i5E
  • STF AERIAL PLUS
  • STF JOY PRO
  • Tesla SP6.2
  • Cubot Rainbow
  • EXTREME 7
  • Haier T51
  • Cherry Mobile Flare S5
  • Cherry Mobile Flare J2S
  • Cherry Mobile Flare P1
  • NOA H6
  • Pelitt T1 PLUS
  • Prestigio Grace M5 LTE
  • BQ 5510

Es kann weitere infizierte Gerätemodelle geben, da es den Android-Geräte-Herstellern herzlich egal scheint, ob die Firmware mit Malware verseucht ist.

Anmerkung: Leider ist Dr. Web wenig transparent im Hinblick auf die obige Geräteliste. Mir ist unklar, ob da auch Altfälle oder nur aktuelle Fälle aufgenommen wurden – die Liste ist also mit Vorsicht zu genießen – siehe auch die nachfolgenden Verlautbarungen. Auch gibt es den Vorwurf, dass es sich bei dem Trojaner um einen falschen Alarm handele.

Als Quelle für die Verseuchung will Dr. Web einen Software-Hersteller in Shanghai ausgemacht haben, der dem Anbieter Leagoo eine eigene App sowie Hinweise, wie diese in die Firmware zu integrieren sei, lieferte. Der Anbieter schöpfte, laut Dr. Web, keinen Verdacht und lieferte den Trojaner aus. Laut Bleeping Computer scheint der Software-Entwickler für andere Malware-Kampagnen in der Vergangenheit verantwortlich zu sein. Das heißt letztendlich: Finger weg von den billigen No-Name China Phones oder zumindest Vorsicht walten lassen.

Ergänzung 1: Leagoo spricht von falschem Alarm

Der chinesische OEM-Anbieter Leagoo bezeichnet die Meldung von Dr. Web als ‘falschen Alarm’. In einer Erklärung gibt der OEM an, dass es vor der Veröffentlichung des Dr. Web-Artikels Kontakt gab. Eine Untersuchung der besagten APK ergab, dass sich bei der APK-Datei um “Code für Werbezwecke” handelte, es also ein falscher Alarm gewesen sei. Laut Leagoo resultieren die Probleme mit dem “Virenalarm” bei LEAGOO-Geräten in erster Linie aus unterschiedlichen Virenerkennungsmechanismen und Algorithmen zwischen chinesischer und ausländischer Antivirensoftware. Das Unternehmen schreibt in einer Pressemitteilung, aus der diese Site zitiert:

“Soon after that, LEAGOO software team updated LEAGOO OS and solved virus alert issues in an urgent manner. So far, we did not receive any complaint or critics regarding personal or bank info leakages due to the so called ‘virus alert.’”


Anzeige

Frei übersetzt: Der OEM hat im Anschluss [an die Dr. Web-Meldung] LEAGOO OS aktualisiert – der Code wurde entfernt – und so das ‘Virenalarm-Problem’ zügig behoben. Bisher hat das Unternehmen keine Beanstandungen oder Rückmeldungen erhalten, die sich auf Leckagen von persönlichen oder Bankdaten aufgrund des so genannten Virenalarms beziehen.

Ab da wird es aber skurril. In der Pressemitteilung des Unternehmens heißt es:

In early March of 2018, some media quoted the above-mentioned anti-virus software company’s data without verification and completely ignored the fact that LEAGOO had already solved the issue of “virus alert”. Instead, these media reported that the LEAGOO mobile phones were “virus infected”, and released a list of LEAGOO “virus” phones. What is even more outrageous is that the “virus alert” from the original data was exaggerated into “bank virus software”, which led to extremely bad influence on LEAGOO reputation. For such false reports, legal actions will be taken by LEAGOO against relevant media and publishers.

Die wollen also gegen Berichte, die die Gerät mit dem ‘zweifelhaften’ Code benennen, juristisch vorgehen und bestreiten, dass es sich um eine Schadsoftware handele. Nur mal so angemerkt: Unstrittig ist, dass gewisse Gerätemodelle mit zumindest zweifelhaftem Code ausgeliefert wurden. Ob die bereits ausgelieferten Geräte per Update von diesem Code ‘bereinigt’ werden konnten, kann ich nicht verifizieren. Geht man auf die Dr. Web-Seite, wo die ursprüngliche Information über den ‘Trojaner’ zu finden ist, werden die obigen Informationen aus der betreffenden Pressemitteilung dort bisher mit keiner Silbe erwähnt. Nun muss jeder selbst entscheiden, wie er den Fall bewertet und seine Geräte aus No-Name-China-Quellen bezieht. Ergänzung: Habe noch einige Tage nachdem der Artikel erschienen ist, eine Pressemitteilung von Dr. Web erhalten, die die obigen Behauptungen wiederholt.

Ergänzung 2: Stellungnahme von HAMMER Energy

Über die polnische Dependanz von HAMMER Energy hat mich folgende Stellungnahme bezüglich deren in obiger Liste erwähnten Geräts erreicht.

Last weekend, the media published information with a list of smartphones infected with the Triad Trojan. HAMMER Energy was among the listed devices. We want to ensure all owners of this model as well as other products with the HAMMER logo, myPhone and partners.

We ensure you that HAMMER Energy devices that users have – both those with Android 6.0 and 7.0 (also those available in PLAY and T-Mobile networks) are now free of any viruses.

In 2016, after the premiere of the HAMMER Energy model with the Android 6.0 system, we registered infected copies. We managed to quickly and completely eliminate it and provide our users with a convenient update via OTA. Since the beginning of 2017, we have not recorded any notifications from users regarding system infections. As a result, the information on witch media is envolving is out of date and untrue. Please
remove HAMMER Energy from the list.

Interested persons who have concerns about software whitch is used in HAMMER Energy model are encouraged to contact the myPhone service department. At the same time, we want to thank you for all the questions and comments in this matter – it is very important to us.

For 3 years we have been cooperating with Google developing the Android system. Since 2016, we have been a partner of MADA – Mobile Application Distribution Agreement. Thanks to meeting the requirements of the authors of Android, all models of our smartphones have a safe, clean and certified system as well as legal and official access to all functionalities, e.g. the Google Play store with thousands of applications.

Taking advantage of the huge interest that our HAMMER Energy aroused, we encourage you to follow our
fan page “HAMMER. You can More! “, On which we inform about all updates, contests and new products for
owners of our rugged models.

Also zusammengefasst: Ja, es gab infizierte Modelle – aber im Jahr 2016 – und diese Infektionen wurden per OTA-Update von Trojanern befreit. Seit dieser Zeit sind die Geräte von HAMMER Energy nicht mehr aufgefallen und gelten als virenfrei. Ich habe daher in obiger Liste eine Anmerkung diesbezüglich nachgetragen.

Ähnliche Artikel
Backdoor/Rootkit bei 3 Millionen China-Handys entdeckt
Backdoor in China-Phones “telefoniert nach Hause”
Android-Backdoor in China-Phones
Billige China-Kracher mit Android-Trojaner inside
Finger weg von der Android Meitu-Selfie-App
Android-Backdoor in China-Phones
Android Smartphone mit Ad- und Ransomware gefunden
Triada-Trojaner in Firmware von Billig-Androiden gefunden


Anzeige
Dieser Beitrag wurde unter Android, Sicherheit, SmartPhone abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu China-Phones mit eingebautem Banking-Trojaner


  1. Anzeige
  2. woodpeaker sagt:

    Solche Aktionen haben auf einem Gerät mit Google BS nichts zu suchen, wer dennoch meint dort Bankangelegenheiten ausführen zu müssen, dem ist nun wirklich nicht zu helfen.

    • Günter Born sagt:

      Nun ja, ich schreibe mir die Finger blutig, um vor Online-Banking auf solchen Geräten zu warnen. Und schon kriege ich die nächste Presseabteilung von Anbieter xyz oder Bank xyz auf den Tisch, wie toll die neue Banking-App doch sei – und TANs kann die auch generieren ;-).

  3. Berger sagt:

    Ich habe auch nach vielen Jahren Samsung kezut ein China phone das zwischenzeitlich nicht mehr weiß ob es Männlein oder weiblein ist. Es friert ständig ein system ui wird beendet Fingerabdrucksensor verschollen.
    Malwarebytes meldet backdoor.triada.CN.
    Kann man da was tun? Oder hat wenigstens Anspruch auf Erstattung des Kaufpreises?

    • Günter Born sagt:

      Wenn der Trojaner im ROM steckt, kannst Du wenig tun – es sei denn, Du findest ein alternatives ROM. Geld zurück wird bei einem Händler in China schwierig – kontaktiere den und schau, was passiert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.