DeathRing

Erneut vorinstallierte Malware auf Smartphones

04.12.2014 von Manfred Bremmer

Der Mobile-Security-Spezialist Lookout warnt vor dem chinesischen Trojaner DeathRing, der bereits auf verschiedenen Smartphones vorinstalliert ist. Zwar sind die betroffenen Modelle in Europa nicht besonders verbreitet und die Anzahl der erkannten Fälle im Moment nicht sehr hoch. Das Vorgehen könnte jedoch Schule machen.

Tückisch: Die Android-Malware DeathRing ist auf dem Gerät bereits vorinstalliert.

Wie Lookout berichtet, nimmt der Trojaner die Gestalt einer Klingelton-App an. Dieser kann aber tatsächlich SMS- und WAP-Inhalte von seinem Command- und Control-Server auf das Gerät des Opfers herunterladen und dann diese Inhalte zu bösartigen Zwecken nutzen.

So ist es etwa denkbar, dass DeathRing mit SMS-Inhalten persönliche Daten des Benutzers abgreift. Hierzu werden falsche Textnachrichten gesendet, in denen die gewünschten Daten angefordert werden. Außerdem könnte der Trojaner WAP- beziehungsweise Browser-Inhalte nutzen, um Opfer zum Download weiterer APKs aufzufordern. Das ist besorgniserregend, weil die Malware-Entwickler somit die Opfer verleiten, weitere Malware herunterzuladen, welche die Reichweite des Angriffs auf das Gerät und die Daten des Benutzers ausdehnt.

Die Malware wird laut Lookout abhängig von der Art der Nutzung auf zwei Arten aktiviert. Zum Ersten aktiviert sich der Schädling, wenn das Smartphone fünfmal herunter- und wieder hochgefahren wird. Beim fünften Neustart tritt die Malware in Aktion. Zum Zweiten startet die bösartige Funktion, nachdem das Opfer mindestens fünfzig Mal das Gerät benutzt und wieder abgelegt hat.

Von DeathRing betroffene Geräte wie das GPAD G1 von Gionee sind hierzulande relativ unbekannt.
Foto: Gionee

Wie die Experten für mobile Sicherheitslösungen weiter berichten, ist derzeit noch nicht bekannt, an welcher Stelle in der Lieferkette DeathRing installiert wird. Der Trojaner werde jedoch in das Systemverzeichnis verschiedener Geräte geladen. Betroffen sind meist Devices von weniger bekannten Herstellern, die Smartphones in Entwicklungsländer verkaufen. Hierzu gehören Lookout zufolge:

Counterfeit Samsung GS4/Note II
Diverse TECNO-Geräte
Gionee Gpad G1
Gionee GN708W
Gionee GN800
Polytron Rocket S2350
Hi-Tech Amaze Tab
Karbonn TA-FONE A34/A37
Jiayu G4S - Galaxy S4 Clone
Haier H7
Ohne Herstellerangabe i9502+ Samsung Clone

Die hauptsächlich betroffenen Länder sind Vietnam, Indonesien, Indien, Nigeria, Taiwan und China.

Zu Beginn dieses Jahres hatte Lookout bereits eine andere vorinstallierte Malware namens Mouabad erkannt. Ähnlich wie DeathRing wird Mouabad ebenfalls an einer bestimmten Stelle in der Lieferkette vorinstalliert und betrifft vorwiegend asiatische Länder. Es wurden jedoch auch Fälle in Spanien entdeckt.

Laut Lookout ist es Anbietern von Sicherheitslösungen nicht möglich, diese Malware zu entfernen, weil sie im Systemverzeichnis des Smartphones vorinstalliert ist. Die Security-Spezialisten empfehlen jedoch folgende Maßnahmen, um auf Nummer Sicher zu gehen:

Sie sollten wissen, woher das gekaufte Gerät kommt.

Laden Sie eine Security-App herunter, die Sie vor Malware schützt: Wenn Sie eine Warnung erhalten, dass sich Malware wie diese auf dem Gerät befindet, sollten Sie es reklamieren.
Überprüfen Sie regelmäßig Ihre Smartphone-Rechnung auf erhöhte Gebühren.