Über die Online-Plattform Amazon hat das BSI im Januar und Februar das Tablet Eagle 804 des Herstellers Krüger&Matz, das Smartphone S8 Pro von Ulefone und das Smartphone A10 von Blackview bestellt und analysiert. Dabei konnte laut der Behörde nachgewiesen werden, dass das Tablet Eagle 804 im Auslieferungszustand über eine vorinstallierte Schadsoftware mit einem bekannten Command&Control-Server Kontakt aufnimmt. Bei den anderen Geräten konnte keine Schadsoftware nachgewiesen werden. Allerdings: Die auf der Website zum Download angebotene Version der zugehörigen Firmware enthalte ebenfalls die Schadsoftware, so das BSI. Es sei daher davon auszugehen, dass mit diesen Firmwareversionen ausgelieferte Geräte ebenfalls betroffen seien.

Aufmerksam wurde die Behörde durch einen Bericht der auf IT-Sicherheit spezialisierten Firma Sophos, die über entsprechende Infektionen bei Ulefone S8 PRo Geräten berichtet hatte. Hinzu kommen sogenannte Sinkhole-Daten, die dem BSI vorliegen. Damit lassen sich über 20.000 Verbindungen unterschiedlicher deutscher IP-Adressen pro Tag mit diesem maliziösen C&C-Server nachweisen. Es sei daher davon auszugehen, dass die Verbreitung von Geräten mit dieser Schadsoftwarevariante in Deutschland von größerem Ausmaß sei.

Was die Malware kann

Die Schadsoftware übermittelt ad hoc verschiedene kennzeichnende Daten des Geräts an den C&C-Server und verfügt daneben auch über eine Nachladefunktion. Darüber können weitere Schadprogramme, etwa Banking-Trojaner, auf den jeweiligen Geräten platziert und ausgeführt werden, warnt das BSI. Eine manuelle Entfernung der Schadsoftware sei nicht möglich, da sie im internen Bereich der Firmware verankert sei. Für die Geräte mit maliziösen Firmwarversionen habe es zum Untersuchungszeitpunkt kein Firmwareupdate gegeben, heißt es weiter. Anwender könnten diese daher nicht zuverlässig bereinigen und ohne Schadfunktionalität betreiben.

"Einmal mehr zeigt sich an diesem Fall ganz deutlich, dass der Preis oder technische Features allein kein Kriterium für eine Kaufentscheidung sein dürfen. Die Anwender zahlen sonst möglicherweise mit ihren Daten oder durch betrügerische Aktivitäten deutlich drauf", kommentierte Arne Schönbohm. Der BSI-Präsident mahnte Händler, Sorge dafür zu tragen, dass solche Geräte gar nicht erst auf den Markt kommen. "Wir haben die Hersteller der Geräte über unsere Erkenntnisse informiert und sie aufgefordert, geeignete Maßnahmen zu treffen, um die Sicherheit ihrer Kunden wiederherzustellen. Mehr ist dem BSI derzeit nicht möglich", so Schönbohm. Amazon habe der Behörde erklärt, dass man die drei genannten Geräte inzwischen aus dem Sortiment genommen habe. Das BSI gibt unter www.bsi-fuer-buerger.de IT-Nutzern Tipps, was sie beim Kauf von IT-Geräten beachten sollten. (sg)