Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt derzeit vor vorinstalliertem Schadcode in der Firmware von vier Android-Smartphone-Modellen aus China: Dem Doogee BL7000, dem M Horse Pure 1, dem Keecoo P11 sowie dem VKworld Mix Plus.

Einer Pressemeldung des BSI zufolge kauften Mitarbeiter der Behörde die betreffenden Modelle gezielt auf verschiedenen Online-Marktplätzen ein, um sie auf Schadsoftware zu testen, die bereits im Februar dieses Jahres nachgewiesen worden war. Auf welchen Geräten dies damals geschah, geht aus der Mitteilung nicht hervor.

Der Schädling, der von dem Sicherheitssoftware-Hersteller Sophos unter dem (generischen, also nicht eindeutigen) Alias Andr/Xgen2-CY geführt wird, übermittle "ad hoc verschiedene kennzeichnende Daten des Geräts an einen C&C-Server" und verfüge zusätzlich über eine Funktion zum Nachladen und Ausführen weiterer Malware wie etwa Banking-Trojanern.

Eine manuelle Bereinigung der verseuchten Firmware ist laut BSI nicht möglich, da Andr/Xgen2-CY zu tief darin verankert sei.

Schadcode werkelt aktiv auf zwei Modellen

Das BSI hat Warnmeldungen für das Doogee BL7000 und das M-Horse Pure 1 veröffentlicht. Es rät Nutzern, von der Verwendung beider Geräte abzusehen und – falls vorhanden – "gesetzliche Gewährleistungsansprüche gegenüber dem Händler" geltend zu machen.

Mittels Überprüfung der in den Warnmeldungen angegebenen Build-Nummern (Doogee BL7000: P6GFFT.DGE.HB.FHD.D3P5PA.0915.V3.03_20171018-1125; M-Horse Pure 1: V3G23HB.JHM.M_HORSE.HB.HJ.PA.1118.V3.04), so das BSI, könnten Besitzer überprüfen, ob ihr Smartphone betroffen sei. Ein Hinweis, der angesichts der Tatsache, dass die übrigen Builds nicht vom BSI auf den Schadcode (durch-)getestet wurden, allerdings mit Vorsicht zu genießen ist. Sicherer ist es wohl, auf die Verwendung der Geräte zu verzichten. "Saubere" Firmware-Updates gebe es bisher keine.

Fragwürdige Firmware-Updates und tickende Zeitbomben

Für das Keecoo P11 stehe hingegen ein Firmware-Update ohne die Malware zur Verfügung, die in der Firmware-Version V3.02 (V362HH.SHWY.HB.HJ.P3.1130.V3.02) nachgewiesen worden sei. Nutzer könnten es laut BSI über die Updatefunktion „Wireless Update“ des Herstellers die bereinigte Firmware V3.04 (V362HH.SHWY.HB.HJ.P3.0315.V3.04) herunterladen. Da allerdings auch hier offen bleibt, wie die Situation bei den übrigen Firmware-Versionen aussieht und die Vertrauenswürdigkeit des Herstellers mehr als zweifelhaft scheint, sollten P11-Besitzer gut überlegen, ob sie das Risiko der weiteren Nutzung eingehen wollen.

Selbiges gilt auch für das Gerät VKworld Mix Plus: Hier habe das BSI die Schadsoftware ebenfalls nachweisen können; allerdings sei diese "nicht aktiv geworden". Welche Build-Nummer getestet wurde, verrät das BSI nicht. Somit bleibt die diffuse Gefahr einer versteckten, tickenden Zeitbombe, der sich Nutzer bewusst sein sollten.

Einzelne Handelsplattformen, so das BSI, hätten die vier Modelle infolge der Schadcode-Funde mittlerweile bereits "bis auf Weiteres" aus ihrem Sortiment entfernt. Allgemeine Hinweise für den Kauf von Smartphones und Tablets hat das BSI in einem Service-Artikel zusammengefasst. (ovw)