Wie Cyberkriminelle an Zugangsdaten kommen
Europol analysiert in einem aktuellen Report Techniken von Cyberkriminellen. Diese werden immer ausgefeilter.
Millionen von Handys verlassen die Fabrik mit Malware
12. Mai 2023 um 12:26
Laut Trend Micro werden viele Smartphones bereits in der Lieferkette infiziert. Die Malware soll nicht nur Daten abgreifen, sondern das Handy zum Proxy machen.
Betrüger infizieren weltweit Millionen von Android-Geräten mit bösartiger Firmware, noch bevor die Geräte die Fabriken verlassen. Das haben Forscher des japanischen Softwareanbieters Trend Micro aufgedeckt. Es geht um Smartphones, aber auch um Smartwatches und TV-Geräte.
Die Security-Forscher wiesen an einem Vortrag auf der Konferenz "Black Hat Asia" auf ein generelles Problem hin: Die Herstellung der Geräte wird an Original Equipment Manufacturer (OEMs) ausgelagert, also Firmen, die im Auftrag von Smartphone-Anbietern Komponenten produzieren. Das erlaubt Zugriffe auf die zerstückelte Lieferkette. So könnten etwa Firmware-Anbieter Produkte mit Malware infizieren, so die Forscher.
Das Vorgehen sei erstmals beobachtet worden, als die Preise für Mobile-Firmware gepurzelt seien, sagte einer der Trend-Micro-Forscher zu 'The Register'. Der Konkurrenzkampf sei damals so gross geworden, dass die Hersteller kein Geld mehr dafür verlangen konnten. Einige reagierten mit der Integration von "stillen" Plugins.
Kriminelle "vermieten" Handys
Das Trend-Micro-Team fand rund 80 dieser Plugins in Firmware. Einige davon greifen sensible Daten oder auch SMS-Nachrichten ab, die dann wiederum an Betrüger verkauft werden. Ein Plugin ermöglicht es Kriminellen sogar, Geräte für fünf Minuten zu "vermieten". Wer über den Zeitraum die Kontrolle kauft, kann von Tastenanschlägen über geographische Standorte und IP-Adressen fast alles abgreifen und das Gerät als Proxy benutzen, also Daten darüber leiten.
Trend Micro hat Telemetriedaten ausgewertet: Es seien Millionen von infizierten Geräten im Umlauf. Diese würden sich aber auf den Raum Südostasien und Osteuropa konzentrieren. Betroffen sind demnach mindestens 10 Handy-Anbieter aus dem Billigsegment. Grosse Marken würden ihre Lieferketten besser schützen, eine Garantie für Sicherheit gebe es aber auch dort nicht, so die Forscher.
Einen Urheber der Plugins wollten sie nicht nennen. Lieferkettenangriffe sind schwer nachzuvollziehen, weil die Infektion an vielen Punkten erfolgen kann. OEMs haben ihren Sitz meist im asiatischen Raum.
Loading
Bacs verstärkt Kooperation mit Banken
Das Bundesamt für Cybersicherheit erweitert seine Zusammenarbeit mit dem Swiss Financial Sector Cyber Security Centre. Insbesondere der Informationsaustausch wird verbessert.
Cisco stellt Security-Lösungen für KI-Agenten vor
Agentenbasierte KI vervielfacht Risiken in Unternehmen, schreibt Cisco und stellt passende Lösungen vor.
Im Cybercrime-Untergrund herrscht Unruhe
Aktionen von Justizbehörden häufen sich. Ein Whistleblower leakt Daten zu Ransomware-Hintermännern. Security-Experten äussern sich zu deren Analyse.