Millionen von Handys verlassen die Fabrik mit Malware

12. Mai 2023 um 12:26
  • security
  • datenschutz
  • cybercrime
  • smartphone
image
Grafik: Midjourney

Laut Trend Micro werden viele Smartphones bereits in der Lieferkette infiziert. Die Malware soll nicht nur Daten abgreifen, sondern das Handy zum Proxy machen.

Betrüger infizieren weltweit Millionen von Android-Geräten mit bösartiger Firmware, noch bevor die Geräte die Fabriken verlassen. Das haben Forscher des japanischen Softwareanbieters Trend Micro aufgedeckt. Es geht um Smartphones, aber auch um Smartwatches und TV-Geräte.
Die Security-Forscher wiesen an einem Vortrag auf der Konferenz "Black Hat Asia" auf ein generelles Problem hin: Die Herstellung der Geräte wird an Original Equipment Manufacturer (OEMs) ausgelagert, also Firmen, die im Auftrag von Smartphone-Anbietern Komponenten produzieren. Das erlaubt Zugriffe auf die zerstückelte Lieferkette. So könnten etwa Firmware-Anbieter Produkte mit Malware infizieren, so die Forscher.
Das Vorgehen sei erstmals beobachtet worden, als die Preise für Mobile-Firmware gepurzelt seien, sagte einer der Trend-Micro-Forscher zu 'The Register'. Der Konkurrenzkampf sei damals so gross geworden, dass die Hersteller kein Geld mehr dafür verlangen konnten. Einige reagierten mit der Integration von "stillen" Plugins.

Kriminelle "vermieten" Handys

Das Trend-Micro-Team fand rund 80 dieser Plugins in Firmware. Einige davon greifen sensible Daten oder auch SMS-Nachrichten ab, die dann wiederum an Betrüger verkauft werden. Ein Plugin ermöglicht es Kriminellen sogar, Geräte für fünf Minuten zu "vermieten". Wer über den Zeitraum die Kontrolle kauft, kann von Tastenanschlägen über geographische Standorte und IP-Adressen fast alles abgreifen und das Gerät als Proxy benutzen, also Daten darüber leiten.
Trend Micro hat Telemetriedaten ausgewertet: Es seien Millionen von infizierten Geräten im Umlauf. Diese würden sich aber auf den Raum Südostasien und Osteuropa konzentrieren. Betroffen sind demnach mindestens 10 Handy-Anbieter aus dem Billigsegment. Grosse Marken würden ihre Lieferketten besser schützen, eine Garantie für Sicherheit gebe es aber auch dort nicht, so die Forscher.
Einen Urheber der Plugins wollten sie nicht nennen. Lieferkettenangriffe sind schwer nachzuvollziehen, weil die Infektion an vielen Punkten erfolgen kann. OEMs haben ihren Sitz meist im asiatischen Raum.

Loading

Mehr zum Thema

imageAbo

Wie Cyberkriminelle an Zugangsdaten kommen

Europol analysiert in einem aktuellen Report Techniken von Cyberkriminellen. Diese werden immer ausgefeilter.

publiziert am 12.6.2025
image

Bacs verstärkt Kooperation mit Banken

Das Bundesamt für Cybersicherheit erweitert seine Zusammenarbeit mit dem Swiss Financial Sector Cyber Security Centre. Insbesondere der Informationsaustausch wird verbessert.

publiziert am 11.6.2025
image

Cisco stellt Security-Lösungen für KI-Agenten vor

Agentenbasierte KI vervielfacht Risiken in Unternehmen, schreibt Cisco und stellt passende Lösungen vor.

publiziert am 11.6.2025
imageAbo

Im Cybercrime-Untergrund herrscht Unruhe

Aktionen von Justizbehörden häufen sich. Ein Whistleblower leakt Daten zu Ransomware-Hintermännern. Security-Experten äussern sich zu deren Analyse.

publiziert am 10.6.2025