Auf Millionen Android-Smartphones soll ab Werk Malware installiert sein. Mit verschiedenen Schadcode-Plug-ins können Cybergangster unter anderem den Zugriff auf Geräte ermöglichen. Davor haben Sicherheitsforscher von Trend Micro auf der IT-Security-Veranstaltung Black Hat Asia gewarnt.

Lieferung inklusive Trojaner

In ihrem Vortrag "Behind the Scenes: How Criminal Enterprises Pre-infect Millions of Mobile Devices" warnen sie davor, dass sich Kriminelle aufgrund von Outsorucing in Lieferketten einklinken, um Schadcode in Firmwares zu verankern. Das ist besonders gefährlich, weil derartig präparierte Geräte ab Werk mit Malware daherkommen. In der Regel bekommen Opfer im Betrieb nichts von den Schadfunktionen mit.

Aufgrund der Aussagen von Cyberkriminellen schätzen sie, dass global rund 9 Millionen Geräte bereits in der Produktion mit Malware infiziert wurden. Der Großteil davon soll sich in Südostasien und Osteuropa befinden.

Schadcode-Funde

Die Sicherheitsforscher geben an, in ihrer Analyse in mehr als einem Dutzend Firmware-Images auf über 80 verschiedene Malware-Plug-ins gestoßen zu sein. Viele davon sollen aber nicht weit verbreitet sein. Um viele Plug-ins soll ein Business-Modell gebaut sein. Werbung dafür soll in sozialen Medien stattfinden. Verkaufsangebote gibt es im Darknet.

Als Beispiel für ein Schadcode-Plug-in haben sie "proxy plugins" vorgestellt. Darüber sollen Kriminelle den Fernzugriff auf kompromittierten Smartphones minutenweise vermieten. Der Schadcode richtet einen Proxy ein, sodass etwa Tastatureingaben von Passwörtern bei den Kriminellen landen. Auch eine Nutzung als Exit Node sei vorstellbar. Darüber können sie aber auch Klickbetrug-Apps einrichten und darüber Profit generieren.

Ab Werk manipulierte Android-Firmware ist nicht neu und bereits 2018 kam es zu solchen Vorfällen. Wie zu diesem Zeitpunkt sind auch dieses Mal vornehmlich günstige Android-Smartphones davon betroffen. Konkrete Sicherheitstipps haben die Sicherheitsforscher nicht auf Lager. Sie führen lediglich aus, dass Käufer von High-End-Android-Smartphones vor solchen Manipulationen sicherer sind. Google, Samsung & Co. kontrollieren ihnen zufolge ihre Lieferkette besser. Die Forscher gehen davon aus, dass die Bedrohung durch manipulierte Firmware weiter wachsen wird.

