Millionen von Handys verlassen die Fabrik mit Malware

12. Mai 2023 um 12:26
  • security
  • datenschutz
  • cybercrime
  • smartphone
image
Grafik: Midjourney

Laut Trend Micro werden viele Smartphones bereits in der Lieferkette infiziert. Die Malware soll nicht nur Daten abgreifen, sondern das Handy zum Proxy machen.

Betrüger infizieren weltweit Millionen von Android-Geräten mit bösartiger Firmware, noch bevor die Geräte die Fabriken verlassen. Das haben Forscher des japanischen Softwareanbieters Trend Micro aufgedeckt. Es geht um Smartphones, aber auch um Smartwatches und TV-Geräte.
Die Security-Forscher wiesen an einem Vortrag auf der Konferenz "Black Hat Asia" auf ein generelles Problem hin: Die Herstellung der Geräte wird an Original Equipment Manufacturer (OEMs) ausgelagert, also Firmen, die im Auftrag von Smartphone-Anbietern Komponenten produzieren. Das erlaubt Zugriffe auf die zerstückelte Lieferkette. So könnten etwa Firmware-Anbieter Produkte mit Malware infizieren, so die Forscher.
Das Vorgehen sei erstmals beobachtet worden, als die Preise für Mobile-Firmware gepurzelt seien, sagte einer der Trend-Micro-Forscher zu 'The Register'. Der Konkurrenzkampf sei damals so gross geworden, dass die Hersteller kein Geld mehr dafür verlangen konnten. Einige reagierten mit der Integration von "stillen" Plugins.

Kriminelle "vermieten" Handys

Das Trend-Micro-Team fand rund 80 dieser Plugins in Firmware. Einige davon greifen sensible Daten oder auch SMS-Nachrichten ab, die dann wiederum an Betrüger verkauft werden. Ein Plugin ermöglicht es Kriminellen sogar, Geräte für fünf Minuten zu "vermieten". Wer über den Zeitraum die Kontrolle kauft, kann von Tastenanschlägen über geographische Standorte und IP-Adressen fast alles abgreifen und das Gerät als Proxy benutzen, also Daten darüber leiten.
Trend Micro hat Telemetriedaten ausgewertet: Es seien Millionen von infizierten Geräten im Umlauf. Diese würden sich aber auf den Raum Südostasien und Osteuropa konzentrieren. Betroffen sind demnach mindestens 10 Handy-Anbieter aus dem Billigsegment. Grosse Marken würden ihre Lieferketten besser schützen, eine Garantie für Sicherheit gebe es aber auch dort nicht, so die Forscher.
Einen Urheber der Plugins wollten sie nicht nennen. Lieferkettenangriffe sind schwer nachzuvollziehen, weil die Infektion an vielen Punkten erfolgen kann. OEMs haben ihren Sitz meist im asiatischen Raum.

Loading

Mehr erfahren

Mehr zum Thema

image

Solarwinds behebt kritische Sicherheitslücke

Eine Schwachstelle in der Helpdesk-Lösung von Solarwinds erlaubt Cyberkriminellen die Ausführung von Remote Code. Das Unter­nehmen ruft zum Patchen auf.

publiziert am 20.8.2024
image

Fehlendes Sicherheitszertifikat des Thurgauer IT-Amtes sorgt für Diskussionen

Seit 2021 verzichtet das Amt auf eine Zertifizierung für Informationssicherheit. Kantonale Parlamentarier kritisieren den Entscheid und verlangen eine Rezertifizierung.

publiziert am 20.8.2024
image

Maschinenbauer Schlatter ist nach Cyberangriff wieder im Normalbetrieb

Zehn Tage nach der Attacke laufen alle Systeme wieder. Das Unternehmen bestätigt erneut, dass es sich um einen Ransomware-Angriff handelte.

publiziert am 20.8.2024
image

Datenschützer wusste nichts über Swisscom-Drohnenprojekt

Für das neue Drohnen-Angebot von Swisscom und Nokia sind laut einem Medienbericht keine Gesuche beim Eidgenössischen Datenschutzbeauftragten eingegangen.

aktualisiert am 19.8.2024