Perfider Fund: Auf manchen Handys ist Malware vorinstalliert

Gerade beim Online-Shopping ist die Versuchung groß, deutlich unter dem üblichen Marktpreis einzukaufen, wenn sich die Gelegenheit ergibt. Doch diese Entscheidung kann sich schnell rächen. Denn derzeit tauchen gefälschte Android-Smartphones auf, die mit einem vorinstallierten Trojaner ausgeliefert werden. Diese Geräte sehen aus wie Modelle bekannter Marken, können aber weit mehr als nur telefonieren: etwa Apps ausspähen, Chats mitlesen, Konten übernehmen, Zahlungen manipulieren oder auch ungewollt kostenpflichtige Abos abschließen. Und das alles, ohne dass ein zusätzlicher Virus eingeschleust werden muss – die Malware „Triada“ steckt schon bei der Auslieferung tief in der Firmware der Geräte.

Triada ist im System verankert

Aktuell warnt der IT-Sicherheitsdienstleister Kaspersky vor einer neueren Version der Triada-Malware. Der Schadcode soll vermutlich über manipulierte Komponenten innerhalb der Lieferkette auf gefälschte Geräte gelangen, die in Online-Shops zu finden sind. Besonders heimtückisch: Triada ist schon beim ersten Einschalten des Smartphones aktiv – versteckt in den Systempartitionen. Dadurch lässt sich der Trojaner ohne Expertenhilfe kaum entfernen.

Triada verschafft sich umfassende Zugriffsrechte auf alle ausgeführten Apps. Bestimmte Module wurden darüber hinaus speziell mit Blick auf beliebte Anwendungen kreiert. Ein Beispiel: Bei WhatsApp sammelt ein Modul alle fünf Minuten Daten und sendet diese an einen externen C2-Server. Derweil sorgt ein weiteres Modul dafür, dass der Trojaner eigenständig Nachrichten versenden, empfangen oder löschen kann.

Doch damit nicht genug. Die Malware kann auch eingehende SMS-Nachrichten mitlesen und sogar darauf reagieren. Auf diese Weise werden Betroffene unbemerkt für kostenpflichtige Dienste registriert. Da viele Tools SMS für die Zwei-Faktor-Authentifizierung nutzen, besteht außerdem die Gefahr, dass auch andere Online-Konten übernommen werden – selbst dann, wenn diese gar nicht mit dem infizierten Smartphone verknüpft sind.

Krypto- und Banking-Nutzer besonders gefährdet

Wer Kryptowährungen besitzt, muss besonders wachsam sein. Denn die Malware durchsucht die Zwischenablage nach Wallet-Adressen und ersetzt diese durch eine vom Angreifer kontrollierte Adresse. Zahlungen können so heimlich umgeleitet werden. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) lassen sich mit Triada zudem auch andere finanzielle Transaktionen manipulieren. Hinzu kommt, dass der Trojaner in der Lage ist, eigenständig weitere Schadsoftware aus dem Internet zu laden und zu installieren. Eine detaillierte Auflistung aller bekannten Funktionen der Triada-Malware bietet der vollständige Bericht von Kaspersky.

Smartphone-Nutzer müssen aufpassen

Am sichersten ist es, Smartphones ausschließlich bei offiziellen und autorisierten Händlern zu kaufen. Dadurch sinkt das Risiko, ein manipuliertes Gerät zu erwischen, erheblich. Ferner kann ein Virenscanner unter Umständen helfen, die Präsenz von Triada festzustellen. Zudem empfiehlt es sich, auch grundsätzlich auf ungewöhnliches Verhalten des eigenen Geräts zu achten – etwa wenn beim Surfen plötzlich unerwartet Werbeseiten erscheinen, weil URLs umgeleitet wurden. Denn so etwas kann einen Hinweis auf Malware darstellen.

Bei einem Verdacht auf Infektion sollte das Gerät nicht mehr für sensible Tätigkeiten wie Online-Banking oder andere finanzielle Transaktionen verwendet werden. Ebenso rät Kaspersky, sich aus Chat-Apps und sozialen Netzwerken abzumelden und sämtliche Passwörter zu ändern. Eine vollständige Bereinigung des Systems erfordert das Überschreiben der Firmware – ein Schritt, der nur mit entsprechendem technischem Wissen erfolgen kann. Wer sich damit nicht auskennt, sollte den Hersteller oder eine Fachkraft kontaktieren.