Der israelische Hersteller von Sicherheitslösungen Check Point hat auf 38 Android-Smartphones namhafter Hersteller vorinstallierte Malware gefunden, berichtet ZDNet. Eine Analyse soll zeigen, dass die Schadsoftware weder von einem Nutzer heruntergeladen noch vom Hersteller aufgespielt wurde.
Infektion auf dem Weg vom Hersteller zum Endkunden
Die Malware befand sich laut Check Point schon auf den Smartphones, als diese von Firmen an ihre Mitarbeiter ausgegeben wurden. Die Schadroutinen seien aber nicht Bestandteil des offiziellen ROMs, also der vom Hersteller vorinstallierten Software gewesen.
Die Sicherheitsforscher von Check Point konnten nach eigenen Angaben genau feststellen, wann das Android-Betriebssystem und die System-Anwendungen installiert wurden, wann dann die Malware hinzukam und wann die Geräte zum ersten Mal von den eigentlichen Nutzern benutzt wurden.
Danach müssen die schädlichen Programme irgendwo in der Lieferkette auf die Geräte gelangt sein. In sechs der Fälle sei die Malware sogar mit System-Rechten zum ROM hinzugefügt worden – die Entfernung der Malware sei nur durch vollständiges Flashen des Betriebssystems möglich gewesen.
Was macht denn die Malware?
Die meisten der gefundenen Malware-Varianten waren zur Sammlung persönlicher Daten und zum Einblenden unerwünschter Werbung programmiert, darunter die bekanntere Malware Loki.
Loki besteht aus mehreren Komponenten mit verschiedenen Aufgaben. Auf einem Gerät befand sich die Erpressersoftware (Ransomware) Slocker, die alle Dateien per AES verschlüsselt und dann für die Entschlüsselung ein Lösegeld verlangt. Slocker nutzt das Anonymisierungs-Netzwerk Tor dazu, seine Befehlsserver zu kontaktieren.
