Das Bundesamt für Sicherheit in der Informationstechnik warnt derzeit vor Geräten, die Kunden ganz normal bei Amazon kaufen konnten. Konkret hat das BSI über die Online-Plattform im Januar und Februar 2019 das Tablet Eagle 804 des Herstellers Krüger&Matz, das Smartphone S8 Pro des Herstellers Ulefone und das Smartphone A10 des Herstellers Blackview bestellt und in der Folge analysiert. Gerade bei Ulefone dürfte es vielleicht bei einigen klingeln, denn viele Shops bieten diese oft recht ordentlich ausgestatteten Smartphones zu einem guten Kurs an. Allerdings gab es da in der Vergangenheit wohl offensichtlich Probleme mit der Firmware, so das BSI:
Quelle; caschy
Auch wenn das eben genannte Ulephone S8 Pro aktuell ohne maliziöse Firmware angeboten wird, kann es dennoch sein, dass sich früher gekaufte Geräte mit der schädlichen Version im Umlauf befinden. Dem BSI liegen nach eigenen Aussagen sogenannte Sinkhole-Daten vor, die über 20.000 Verbindungen unterschiedlicher deutscher IP-Adressen pro Tag mit diesem maliziösen C&C-Server nachweisen. Es muss daher von einer größeren Verbreitung von Geräten mit dieser Schadsoftwarevariante in Deutschland ausgegangen werden.Dabei konnte nachgewiesen werden, dass das Tablet Eagle 804 im Auslieferungszustand über eine vorinstallierte Schadsoftware mit einem bekannten Command&Control-Server Kontakt aufnimmt. Bei den Smartphones Ulefone S8 Pro und Blackview A10 konnte im aktuellen Auslieferungszustand (Firmwareversion V3EG62A.JKE.HB.H.P3.0711.V3.05_20180711-1021 (Blackview A10), Firmwareversion F9G62C.GQU.Ulefone.HB.H.SSXSJS5MHMYP1HK.042 (Ulefone S8 Pro)) keine Schadsoftware nachgewiesen werden. Die Hersteller bieten jedoch auf ihren Webseiten als einzige Variante eine Firmware mit niedrigerer Versionsnummer zum Download an, in der diese Schadsoftware enthalten ist. Es ist daher davon auszugehen, dass mit diesen Firmwareversionen ausgelieferte Geräte ebenfalls betroffen sind.
„Das BSI hat die Hersteller der Geräte über seine Erkenntnisse informiert und sie aufgefordert, geeignete Maßnahmen zu treffen, um die Sicherheit ihrer Kundinnen und Kunden wiederherzustellen. Mehr ist dem BSI derzeit nicht möglich„, so BSI-Präsident Arne Schönbohm. Amazon hat gegenüber dem BSI angegeben, die drei genannten Geräte nach der Kontaktaufnahme durch das BSI gegenwärtig aus dem Sortiment genommen zu haben.Die von Sophos als „Andr/Xgen2-CY“ bezeichnete Schadsoftware übermittelt ad hoc verschiedene kennzeichnende Daten des Geräts an den C&C-Server und verfügt daneben auch über eine Nachladefunktion. Darüber könnten weitere Schadprogramme wie etwa Banking-Trojaner auf den jeweiligen Geräten platziert und ausgeführt werden. Eine manuelle Entfernung der Schadsoftware ist aufgrund der Verankerung im internen Bereich der Firmware nicht möglich. Für die Geräte mit maliziösen Firmwareversionen wurden zum Untersuchungszeitpunkt keine Firmwareupdates angeboten. Nutzerinnen und Nutzer haben daher keine Möglichkeit, die Geräte zuverlässig zu bereinigen und ohne Schadfunktionalität zu betreiben.
Quelle; caschy