DeathRing

Erneut vorinstallierte Malware auf Smartphones

Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Der Mobile-Security-Spezialist Lookout warnt vor dem chinesischen Trojaner DeathRing, der bereits auf verschiedenen Smartphones vorinstalliert ist. Zwar sind die betroffenen Modelle in Europa nicht besonders verbreitet und die Anzahl der erkannten Fälle im Moment nicht sehr hoch. Das Vorgehen könnte jedoch Schule machen.
Tückisch: Die Android-Malware DeathRing ist auf dem Gerät bereits vorinstalliert.
Tückisch: Die Android-Malware DeathRing ist auf dem Gerät bereits vorinstalliert.

Wie Lookout berichtet, nimmt der Trojaner die Gestalt einer Klingelton-App an. Dieser kann aber tatsächlich SMS- und WAP-Inhalte von seinem Command- und Control-Server auf das Gerät des Opfers herunterladen und dann diese Inhalte zu bösartigen Zwecken nutzen.

So ist es etwa denkbar, dass DeathRing mit SMS-Inhalten persönliche Daten des Benutzers abgreift. Hierzu werden falsche Textnachrichten gesendet, in denen die gewünschten Daten angefordert werden. Außerdem könnte der Trojaner WAP- beziehungsweise Browser-Inhalte nutzen, um Opfer zum Download weiterer APKs aufzufordern. Das ist besorgniserregend, weil die Malware-Entwickler somit die Opfer verleiten, weitere Malware herunterzuladen, welche die Reichweite des Angriffs auf das Gerät und die Daten des Benutzers ausdehnt.

Die Malware wird laut Lookout abhängig von der Art der Nutzung auf zwei Arten aktiviert. Zum Ersten aktiviert sich der Schädling, wenn das Smartphone fünfmal herunter- und wieder hochgefahren wird. Beim fünften Neustart tritt die Malware in Aktion. Zum Zweiten startet die bösartige Funktion, nachdem das Opfer mindestens fünfzig Mal das Gerät benutzt und wieder abgelegt hat.

Von DeathRing betroffene Geräte wie das GPAD G1 von Gionee sind hierzulande relativ unbekannt.
Von DeathRing betroffene Geräte wie das GPAD G1 von Gionee sind hierzulande relativ unbekannt.
Foto: Gionee

Wie die Experten für mobile Sicherheitslösungen weiter berichten, ist derzeit noch nicht bekannt, an welcher Stelle in der Lieferkette DeathRing installiert wird. Der Trojaner werde jedoch in das Systemverzeichnis verschiedener Geräte geladen. Betroffen sind meist Devices von weniger bekannten Herstellern, die Smartphones in Entwicklungsländer verkaufen. Hierzu gehören Lookout zufolge:

  • Counterfeit Samsung GS4/Note II

  • Diverse TECNO-Geräte

  • Gionee Gpad G1

  • Gionee GN708W

  • Gionee GN800

  • Polytron Rocket S2350

  • Hi-Tech Amaze Tab

  • Karbonn TA-FONE A34/A37

  • Jiayu G4S - Galaxy S4 Clone

  • Haier H7

  • Ohne Herstellerangabe i9502+ Samsung Clone

Die hauptsächlich betroffenen Länder sind Vietnam, Indonesien, Indien, Nigeria, Taiwan und China.

Zu Beginn dieses Jahres hatte Lookout bereits eine andere vorinstallierte Malware namens Mouabad erkannt. Ähnlich wie DeathRing wird Mouabad ebenfalls an einer bestimmten Stelle in der Lieferkette vorinstalliert und betrifft vorwiegend asiatische Länder. Es wurden jedoch auch Fälle in Spanien entdeckt.

Laut Lookout ist es Anbietern von Sicherheitslösungen nicht möglich, diese Malware zu entfernen, weil sie im Systemverzeichnis des Smartphones vorinstalliert ist. Die Security-Spezialisten empfehlen jedoch folgende Maßnahmen, um auf Nummer Sicher zu gehen:

  • Sie sollten wissen, woher das gekaufte Gerät kommt.

  • Laden Sie eine Security-App herunter, die Sie vor Malware schützt: Wenn Sie eine Warnung erhalten, dass sich Malware wie diese auf dem Gerät befindet, sollten Sie es reklamieren.

  • Überprüfen Sie regelmäßig Ihre Smartphone-Rechnung auf erhöhte Gebühren.