Dieses Handy hat's in sich: Vorinstallierte Malware, die der Benutzer nicht loswerden kann (Bild: Go4Android)

Sicherheitsforscher von G Data haben vorinstallierten Schadcode in der Firmware des Smartphones Star N9500 entdeckt. Der Trojaner erlaubt es, die Nutzer des Handys umfassend auszuspionieren: persönliche Daten können uneingeschränkt kopiert und Gespräche mitgehört werden. Auch das Mikrofon kann beliebig aus der Ferne eingeschaltet werden und verwandelt das Handy auf Kommando in eine Wanze. Das Star N9500 ist eine kostengünstige Kopie des Samsung Galaxy S4, die weltweit bei verschiedenen Online-Händlern für 130 bis 165 Euro vetrieben wird.

Käufer werden ans Messer geliefert

Bei Untersuchungen nach Testkäufen des Gerätes entdeckten die Forscher von G Data darauf den Trojaner Uupay.D, der sich als Googles Play-Dienst ausgibt und den Nutzer des Handys unbemerkt ausspioniert. Der Schadcode scheint also ab Werk installiert zu sein. Zusätzlich stellten die Forscher fest, dass der Trojaner sich nur schwer entfernen lässt, da er Teil der Firmware des Gerätes ist.

G Data vermutet sogar, dass der geringe Preis des Gerätes durch den Verkauf der persönlichen Daten wieder wett gemacht werden soll. Mit den abgegriffenen Daten können Kriminelle aber auch Bankdaten stehlen und Sicherheitsmechanismen wie mTANs austricksen. Der Benutzer kann ebenfalls geortet und mit Premium-SMS zur Kasse gebeten werden. Die App G Data Internet Security für Android kann den Schädling entdecken, betroffene Geräte sollten nicht mehr benutzt werden.

Das "Datang Fairy Artifact" soll legitime Apps mit eingebautem Schadcode installieren (Bild: Kaspersky)

Vorinstallierte Malware

G Data erklärt, das Star N9500 sei das erste entdeckte Smartphone, das "bereits ab Werk mit einem umfassenden Spionageprogramm ausgeliefert wird". Es gibt allerdings Anzeichen dafür, dass der Uupay-Trojaner schon länger auf Geräten vorinstalliert wird. Bereits im März berichtete ein Sicherheitsforscher von Kaspersky davon, dass eine chinesische Firma namens Goohi ein Gerät anbietet, mit dem Hersteller Android-Apps gegen Bezahlung auf ihren Smartphones vorinstallieren können. Laut Kaspersky wurde auf einigen Handys, die mit dem Goohi-Gerät behandelt wurden, der Trojaner Uupay.A gefunden – dies scheint ein Vorläufer des auf dem Star-Smartphone gefundenen Schadcodes zu sein und hat ähnliche Abhörmöglichkeiten. So soll Goohi unter anderem Verbindungsdaten abgegriffen haben.

Im Oktober letzten Jahres fand heise Security einen Windows-Trojaner auf einem Base-Smartphone der Firma E-Plus. Der Virus war höchstwahrscheinlich irgendwo im Fertigungsprozess auf der vorinstallierten SD-Karte des Geräts gelandet. (fab)