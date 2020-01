Das chinesische Billig-Smartphone UMX U683CL von Unimax Communications kommt bereits mit Malware in den Handel, die sich nicht entfernen lässt. Verkauft wird dieses Modell von Assurance Wireless, einer Tochterfirma des US-Mobilfunkers Sprint. Assurance Wireless ist ein Angebot an arme US-Amerikaner, das über einen Fonds der Regulierungsbehörde FCC subventioniert wird. Für diese Kunden ist es finanziell eine besondere Belastung, sich ein neues Handy kaufen zu müssen.

Den Übelstand publik gemacht hat die Sicherheitsfirma Malwarebytes. Sie hat gleich zwei verdächtige Programme gefunden, von denen eines nach einigen Tagen glatt einen Trojaner nachgeladen hat. Wer ein UMX U863CL hat, sollte es entsorgen.

Heimliche Updates und Installationen

Dessen Programm "Wireless Updater" ist der einzige Weg, das Betriebssystem (Android 8.1) zu aktualisieren. Leider installiert Wireless Updater heimlich und ohne Nachfrage neue Software. Malwarebytes bezeichnet dieses riskante Programm als Android/PUP.Riskware.Autoins.Fota.fbcvd. Demnach stammt es von Adups, einer chinesischen Firma, die dafür bekannt sei, Nutzerdaten zu sammeln, Hintertüren für mobile Geräte zu installieren und eben Autoinstaller zu vertreiben.

Theoretisch lässt sich Wireless Update stilllegen, nur gibt es dann auch keine Updates mehr. Hinzu kommt aber ein mit erheblichem Aufwand versteckter Dropper, der gleichzeitig die App für Handy-Einstellungen ist. Die Sicherheitsfirma nennt diese Malware Android/Trojan.Dropper.Agent.UMX und vermutet deren Herkunft ebenfalls in China. Nach einigen Tagen lädt der Dropper heimlich einen Trojaner nach (Android/Trojan.HiddenAds), der dann aggressiv Werbung einblendet.

Da sich dieser Trojaner installiert ohne ein Icon anzulegen, ist die Deinstallation nur über Umwege möglich. Das dürfte allerdings eine Sisyphusarbeit sein, wie User-Berichte nahelegen. Denn die Settings-App installiert laufend nach Belieben weitere nervende Apps. Legt man die Settings-App still, wird das Handy zu einem teuren Briefbeschwerer.

Noch keine Lösung in Sicht

Von Assurance Wireless bekam die Sicherheitsfirma keine Antwort. Heise online hat den Mutterkonzern Sprint und die FCC um Stellungnahme gebeten. "Uns ist die Angelegenheit bekannt und wir sind in Kontakt mit dem Hersteller Unimax, um die Ursache zu verstehen", sagte eine Sprint-Sprecherin am Freitag, "Allerdings glauben wir nicht, dass die beschriebenen Programme Malware sind." Inzwischen hat Malwarebytes die heimliche Installation der versteckten Reklame-App dokumentiert.

Die FCC, aus deren Fonds die Subventionen über eine zwischengeschaltete Firma an Sprint fließen, hat bislang nicht reagiert. Da die Website der US-Tochter Unimax' offline ist, hat heise online am Sonntag versucht, über den Anwalt der Firma Kontakt aufzunehmen. An welcher Stelle der Lieferkette die Malware in das Handy gelangt, ist derzeit nicht bekannt. (ds)