10.03.2010 11:43
Vodafone Smartphone ab Werk mit Bot Mariposa [Update]
Vodafone Spanien hat mindestens ein Android-Smartphone HTC Magic verkauft, auf dessen Speicherkarte der Bot Mariposa installiert war. Das berichtet der spanische Antivirenhersteller Panda in seinem Blog. Aufgefallen war das Problem, als ein Virenanalyst von Panda sein neu erstandenes Smartphone an den PC anschloss. Dabei stellte er fest, dass auf der Speicherkarte neben dem Mariposa-Bot auch noch der Conficker-Wurm und ein passwortstehlender Trojaner installiert waren. Das Dateisystem des Andrdoid-Systems war aber offenbar nicht manipuliert worden.
Laut Bericht startete zumindest der Mariposa-Bot nach dem Anschluß des Gerätes an den PC automatisch und versuchte, weitere PCs über das Netzwerk zu finden (und zu infizieren). Zudem nahm der Bot Kontakt mit einem Command&Control-Server auf – vermutlich ein Server, der auch nach der kürzlichen Zerschlagung des Mariposa-Botnetzes noch erreichbar war. Panda vermutet, dass es sich um eine andere Gruppe von Kriminellen handelt, die ein paralleles Botnetz betreiben.
Gegenüber britischen Medien hat Vodafone das Problem zwar bestätigt , nicht jedoch erklärt, wie die Schädlinge auf die Karte kamen. Es handele sich nach ersten Untersuchungsergebnissen um ein lokales, isoliertes Problem. Ob mehrere Geräte infiziert waren, steht nicht fest. Panda hat zwar im Anschluss an seinen Fund weitere Smartphones des gleichen Typs gekauft, die Ergebnisse aber noch nicht veröffentlicht.
Update: In einer Stellungnahme betont der Pressesprecher von Vodafone D2 (Deutschland) Thorsten Höpken, dass der beschriebene Fall ein absoluter Einzelfall sei, der in Spanien auftrat. "Hier wurde ein solches Gerät von einem Kunden manipuliert, der den Karton mit einem gefälschten Siegel wieder verschlossen und in Umlauf gebracht hat.", so Höpken in einer Mail an heise Security. Man haben den Bestand an HTC Magic Smartphones stichprobenartig überprüft und in keinem einzigen Fall ein schadhaftes Handy gefunden.
Siehe dazu auch:
- Der Smartphone-Bot, der mit dem App-Update kam
- Spanische Polizei gibt Einzelheiten zu Mariposa-Verhaftungen bekannt
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
