Sicherheitsforscher haben auf insgesamt 38 Smartphones unterschiedlicher Hersteller vorinstallierte Malware entdeckt, die “irgendwo” auf dem Vertriebsweg auf den Geräten installiert wurde. Zu den Smartphones gehören Devices von LG, Samsung, Xiaomi und Google, darunter auch ehemalige High-End Geräte. Eventuell handelt es sich um einen gezielten Angriff gegen die Unternehmen, in denen die Smartphones eingesetzt werden. Eine Infektion bei den Herstellern lässt sich zum jetzigen Zeitpunkt ausschließen.

Entdeckt wurde die Malware von Check Point Software Technologies, die den Vorfall auf ihrem Unternehmens-Blog schildern. Die Firma ist ein spezialisierter Dienstleister, der u.a. Sicherheitsüberprüfungen in anderen Unternehmen ausführt, Schwachstellen checkt und entsprechende Soft- und Hardware anbietet. Offenbar handelt es sich bei den beiden Unternehmen mit den infizierten Geräten um Kunden der Firma. Unklar ist, ob es sich um eine routinemäßige Untersuchung handelte oder ob es einen konkreten Anfangsverdacht für die Untersuchung gab.

Die entdeckten Schadprogramme waren definitiv nicht Teil der offiziellen Firmware, die von den Smartphone-Herstellern auf den Geräten installiert wurde. Vielmehr wurden die Smartphones offenbar später, irgendwo entlang der Lieferkette, manipuliert und mit der entsprechenden malware bestückt. In insgesamt sechs Fällen wurde die Malware mit weitgehenden Systemberechtigungen installiert, so dass für eine Entfernung ein kompletter Flash der Smartphones und eine Neuinstallation des Systems notwendig war.

Beim überwiegenden Teil der Schadprogramme handelte es sich um Software, die alle erdenklichen Informationen über das Gerät, seinen Benutzer und sein Verhalten abgreifen und an fremde Server übermitteln. Ein Teil der Programme diente auch zum Einblenden von Werbeanzeigen. So räumt sich beispielsweise „Loki“ umfassende Privileien auf dem infizierten Gerät ein und kann mit diesen Rechten nach Belieben schalten und walten, ohne dass ein Benutzer dies zwingend bemerkt.. Bei einer weiteren App handelte es sich um die Ransomware „Slocker“, die das Tor-Netzwerk zur Verschleierung der Identität seiner Betreiber nutzt.

Die Liste der infizierten Geräte umfasst das Who is Who der Smartphone-Branche. Unter den Modellen befinden sich durchaus auch Smartphones, die zum Zeitpunkt ihrer Anschaffung zu den High-End Modellen gehörten:

Galaxy Note 2, 3, 4, 5, 8, Edge

LG G4

Galaxy S4, S7

Xiaomi Mi 4i

Galaxy A5

Galaxy Tab S2

Galaxy Tab 2

Oppo N3

vivo X6 plus

Nexus 5

Nexus 5X

Asus Zenfone 2

LenovoS90

OppoR7 plus

Xiaomi Redmi

Lenovo A850

ZTE x500

Check Point Software kann nach eigenen Angaben nicht ausschließen, dass die installierte Malware auch bei anderen Unternehmen oder Privatpersonen im Einsatz ist. Bei den beiden nicht namentlich genannten Firmen soll es sich um einen “größeren Telekommunikationsanbieter” und ein “multinationales Technologieunternehmen” handeln. Sollte es sich nicht um einen gezielten Angriff gegen diese beiden betroffenen Firmen handeln, wäre das Szenario einer weitaus größeren Attacke denkbar. Für weitere Erkenntnisse müsste man den Vertriebsweg der Smartphones untersuchen und feststellen, an welcher Stelle die Systeme infiziert wurden.

Bereits im vergangenen Jahr wurde ein vergleichbarer Vorfall publik, damals betraf es mehrere Millionen Smartphones des Herstellers BLU.

Der neuerliche Vorfall zeigt, dass gerade im Unternehmensumfeld eine anfängliche Sicherheitsüberprüfung von neu erworbenen Smartphones Sinn machen kann, sofern man den Vertriebsweg nicht nachvollziehen kann. Besonders bei vermeintlichen Schnäppchen oder Eigen-Importen aus nur unzureichend bekannten Quellen scheint eine erhöhte Skepsis angebracht. Sicherheitslösungen für eine solche Erst-Überprüfung gibt es in den App Stores, in der Regel ist der Check in wenigen Minuten erledigt.

Selbstverständlich steht man als Anwender im Fall einer tatsächlich erfolgten Infektion u.U. vor dem Problem, dass der Hersteller des eigenen Smartphones vielleicht gar keine Original-Firmware zum Download anbietet, mit der sich das Gerät in seinen ursprünglichen Auslieferungszustand zurückversetzen ließe.