Malwarebytes, ein Hersteller von Antivirensoftware, hat auf günstigen Smartphones aus China eine bereits vorinstallierte und nicht entfernbare Malware gefunden. Die betroffenen Smartphones wurden in den USA von Assurance Wireless, einem Mobilfunkprovider, der von der US-Regierung subventionierte Geräte an einkommensschwache Menschen vertreibt, in Umlauf gebracht.
„Ende 2019 haben wir verschiedene Beschwerden in unserem Support-System von Nutzen festgestellt, die Malware in bereits vorinstallierten Apps vermutet haben“, sagte ein Sprecher des Antivirus-Herstellers in einer Pressemitteilung.
Der Hersteller beschaffte sich eines der betroffenen Modelle, ein Unimax (UMX) U686CL, um es näher zu untersuchen.
Bei dieser fand Malwarebytes in der bereits vorinstallierten App Wireless Update die vermeintliche Malware Adup.
Die von einer chinesischen Firma gleichen Namens stammende Malware wurde bereits 2017 entdeckt. Adup bietet Smartphone-Herstellern eine einfache Möglichkeit Firmware-Updates kabellos an Smartphone Kunden auszuliefern. Kryptowire, ein Team von Smartphone-Sicherheitsexperten fand jedoch heraus, dass Adup auch die Möglichkeit besitzt, eigene Firmware-Updates ohne Wissen des Herstellers oder Nutzers zu installieren.
Weitere Apps werden nachgeladen
Malwarebytes fand weiterhin heraus, dass die Malware dazu benutzt wird weitere Apps ohne das Wissen des Nutzers zu installieren. Nach wessen Vorgabe dies geschieht, ist bislang unklar.
„Von dem Moment an indem der User das Smartphone das erste Mal benutzt, beginnt die Wireless Update App automatisch weitere Apps zu installieren“, berichtet das Team von Malwarebytes. „Um es noch einmal zu wiederholen, der Nutzer wird nicht um Erlaubnis gebeten und es muss kein Button geklickt werden, der die Installation der Apps erlaubt.“
Obwohl die nachinstallierten Apps bisher frei von Malware sind ist es wichtig zu wissen, dass die Installation ohne Einwilligung des Nutzers durchgeführt wird. Dies bietet ein potenzielles Einfallstor für Malware die in zukünftigen Updates installiert werden könnte.
Doch damit nicht genug, fand Malwarebytes eine zweite infizierte Komponente in den günstigen Smartphones, die scheinbar stark verschlüsselten Schadcode enthält. Chinesische Zeichen in den Namen der einzelnen Variablen deuten auf einen chinesischen Ursprung hin. Vermutlich ist die Malware dazu gedacht, zu einem späteren Zeitpunkt weiteren Schadcode nachzuladen, unter anderem eine bereits bekannte Malware mit dem Namen HiddenAds.
„Obwohl wir das Nachladen weiterer Malware noch verifizieren müssen, berichten User des UMX Smartphones davon, dass sich HiddenAds ohne ihr Zutun installiert hätte.“
Die Forscher von Malwarebytes konnten bislang nicht nachweisen, dass der Hersteller UMX für die Installation der Malware verantwortlich ist. Dies könnte ein weiterer Fall eines bereits bekannten Problems sein, bei dem einen Hersteller von Komponenten innerhalb der Lieferkette unbemerkt Schadsoftware auf Smartphones einschleust.
Obwohl das Smartphone an sich kein schlechtes Gerät ist, macht die bloße Anwesenheit der zwei mit Malware infizierten Apps das Gerät nicht nur wertlos, sondern auch gefährlich.
Malware lässt sich kaum entfernen
Als wäre dies nicht schon schlimm genug, scheinen sich die beiden infizierten Apps auch nicht ohne Weiteres entfernen zu lassen.
Zwar können Nutzer theoretisch die Wireless Update App entfernen, das führt aber dazu, dass keine weiteren Updates oder Security Patches mehr installiert werden können. Die zweite infizierte App lässt sich gar nicht entfernen, selbst wenn dies möglich wäre könnte das Smartphone danach wichtige Funktionen verlieren.
Malwarebytes hat den Telekommunikationsprovider Assurance Wireless nach eigenen Angaben über den Kenntnisstand informiert, aber keine weitere Rückmeldung erhalten. Auf eine Nachfrage des Onlineportals ZDNet versicherte Assurance Wireless man sei sich der Problematik bewusst und bereits in Kontakt mit dem Hersteller Unimax um die Vorwürfe zu klären. Nach einer eigenen Untersuchung gehe man jedoch nicht davon aus, dass die entsprechenden Apps Malware enthalten.
via ZDnet