Android: Vorinstallierte Malware auf subventionierten US-Smartphones gefunden

[English]Netter Beifang, den Sicherheitsforscher von Malwarebytes auf staatlich geförderten Android Smartphones gefunden haben. Auf den Geräten war Malware vorinstalliert – gratis und unverbindlich, denn der US-Staat hat es bezahlt.


Anzeige

Die Information dümpelt schon einige Tage bei mir im Posteingang – aber solche Themen sind ja eigentlich immer aktuell – zumal US-Präsident Donald Trump den ‘Hammer’ bezüglich der chinesischen TikTok-App herausgeholt hat. Und vorinstallierte Malware auf ‘weißer Ware’ in Form von Android-Geräten ist auch nichts neues (siehe Linkliste am Artikelende).

Vom US-Staat gefördert Smartphones

In den USA gibt es vom Staat geförderte Smartphones, die finanziell benachteiligten Bürgern zur Verfügung gestellt werden. Das Ganze läuft dort unter dem Begriff ‘Assurance Wireless’, und entsprechende Geräte können z.B. von Virgin Mobile bezogen werden. Das soll es auch Bürgern, die über wenig finanzielle Mittel verfügen, am digitalen Leben teilzunehmen.

Der Fund auf Android-Smartphones

Sicherheitsforscher von Malwarebytes haben vor einiger Zeit auf Smartphones, die vom US-Staat gefördert und finanziell benachteiligten Bürgern zur Verfügung gestellt werden, vorinstallierte Malware entdeckt. Betroffen ist das Smartphone ANS UL40 mit Android-Betriebssystem 7.1.1, das über Assurance Wireless von Virgin Mobile bezogen werden kann.

ANS UL40
(ANS UL40 , Quelle: Malwarebytes)

Ein Nutzer, der ein solches Gerät bekommen hat, hat dieses Malwarebytes zur Analyse bereitgestellt. Daher ist aktuell unklar, ob das Gerät weiterhin verfügbar ist – was aber am betreffenden Sachverhalt nichts ändert. Genau wie das UMX U683CL ist auch das ANS UL40 mit einer kompromittierten Settings-App und einer Wireless Update-App infiziert.

Paketname: com.android.settings
MD5: 7ADA4AAEA49383499B405E4CE0A9447F
App Name: Einstellungen
Erkennung: Android/Trojaner.Herunterladen.Wotby.SEK

In der App ist ein Trojaner enthalten, wobei die Malwarebytes-Sicherheitsforscher aber im Analysezeitraum der App  keine bösartige Aktivität, die von dieser infizierten Settings-App ausgelöst wurde, feststellen konnten. Einschränkend muss aber konstatiert werden, dass die Sicherheitsforscher auch nicht die Zeit am Gerät verbracht haben, die ein typischer Benutzer auf einem mobilen Gerät verbringen würde. Es wurde auch keine SIM-Karte in das Gerät eingebaut, was sich auf das Verhalten der Malware auswirken könnte. Nichtsdestotrotz gibt es genügend Beweise dafür, dass diese Einstellungs-App die Möglichkeit hat, Apps von einem App-Store eines Drittanbieters herunterzuladen.

Bei der Wireless Update-App sieht die Infektion folgendermaßen aus:

  • Package Name: com.fota.wirelessupdate
  • MD5: 282C8C0F0D089E3CD522B4315C48E201
  • App Name: WirelessUpdate
  • Detections: Three variants of Android/PUP.Riskware.Autoins.Fota
    • Variants .INS, .fscbv, and .fbcv

Anzeige

WirelessUpdate wird als ein PUP (Potentially Unwanted Program) Riskware-Auto-Installer kategorisiert, der in der Lage ist, Anwendungen ohne Zustimmung oder Wissen des Benutzers automatisch zu installieren. Es fungiert auch als Hauptquelle des mobilen Geräts für die Aktualisierung von Sicherheits-Patches, Betriebssystem-Updates usw. Android/PUP.Riskware.Autoins.Fota ist dafür bekannt, verschiedene Varianten von Android/Trojan.HiddenAds zu installieren – und das hat es tatsächlich getan! Tatsächlich hat es automatisch vier verschiedene Varianten von HiddenAds installiert, wie die Sicherheitsforscher in ihrem Blog-Beitrag schreiben. Dort lassen sich auch weitere Details nachlesen.

Ähnliche Artikel:
China-Phones mit Trojaner inklusive
Backdoor in China-Phones “telefoniert nach Hause”
Android-Backdoor in China-Phones
Billige China-Kracher mit Android-Trojaner inside
App prüfen auf werksseitige Trojaner in Android-Smartphones


Anzeige

Dieser Beitrag wurde unter Android abgelegt und mit Android, Sicherheit, SmartPhone verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Android: Vorinstallierte Malware auf subventionierten US-Smartphones gefunden


  1. Anzeige
  2. Herr IngoW sagt:

    Oh da sind die Amis mal wieder mit den Fingern im Honigtopf erwischt worden. 😁
    Aber China wird meist von den USA ohne Beweise in diesen Sachverhalt beschuldigt.
    Da muss mal wieder richtig ausgefegt werden. Aber das wird die jetzige Führung bei den Amis bestimmt nicht tut.

  3. Dekre sagt:

    Es ist doch eindeutig – Eine sog. “social-app”, die nicht aus den USA kommt, ist einfach eine Gefahr für die USA.

    Das ist unabhängig davon zu sehen, dass wohl diese “social-app” an den Hersteller und damit an China was weiterleitet. Was ist daran schlimm?
    Die Chinesen machen nur das, was die anderen reine us-basierten “social-app” auch machen. Bei letzten wird regelmäßig alles von den Geheimdiensten der USA abgegriffen.

    Jetzt haben mal die US-Geheimdienste in der totalen Kontrolle der Welt ihre Orientierung verloren.

    Noch interessanter ist die Tatsache, dass Microsoft das “kaufen” sollte. Das läßt mehr Fragen als Lösungen offen. Bedenkt man, dass viele Behörden MS-Produkte mit Online-Kontakt einsetzen, so weiß man doch zielgerichtet wohin die Daten langen und diese tatsächlich verarbeitet werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.