Dr.Web: Android.Triada.231 Trojaner nach wie vor ein Problem

Im vergangenen Jahr berichteten wir über einen brisanten Schadsoftware Fund von Dr.Web der vor allem günstige Smartphones betrifft. Betroffen sind dabei zahlreiche Chinahandys, allerdings auch Geräte von kleineren Herstellern die in westlichen Märkten ansässig sind. Der Trojaner um den es hier geht nennt sich "Android.Triada.231". Dieser befindet sich auf den betroffenen Geräten ab Werk und infiziert eine Android Komponente, welche für den Start von Apps zuständig ist. Dadurch lässt sich der Trojaner nur durch ein sauberes Firmware Update entfernen, oder mittels Rootrechten. Dies ist dann zum Beispiel mit "Dr.Web Security Space" für Android möglich. Auch ein Identifizieren des Trojaners ist übrigens nur mit Root Rechten möglich. Ohne einen Scan mit Root Rechten finden Virenscanner die Schadsoftware nicht.

Nun hat Dr.Web ein interessantes Update zu dem Vorfall veröffentlicht. Die Sicherheitsexperten haben das Geschehen während der letzten Monate intensiv beobachtet und dabei erschreckender weise keinen Rückgang der Infektionen beobachten können. Im Gegenteil: Die liste der mit Android.Triada.231 infizierten Geräte ist mittlerweile auf 40 angestiegen. Wohl bemerkt handelt es sich hier keinesfalls um eine Liste die Anspruch auf Vollständigkeit stellt, sondern lediglich um die Geräte, auf denen die Existenz des Trojaners nachgewiesen wurde. Die vollständige Liste könnt ihr im Beitrag von Dr.Web einsehen.

Werbung

Mal wieder Leagoo

Besonders auffällig ist in dieser Liste mal wieder Leagoo, die von allen in der Liste erwähnten Herstellern die meisten Geräte mit dem Trojaner anbieten. Laut Dr.Web hat man Leagoo bereits beim ersten Bekanntwerden im Jahre 2017 mit den Funden konfrontiert. Eine Reaktion darauf blieb jedoch aus. Das deckt sich auch mit unseren eigenen Erfahrungen mit Leagoo. Der Hersteller ist bei uns bekannt dafür, seine Smartphones mit Schadsoftware auszuliefern und das Problem zu ignorieren. Und das beschränkt sich nicht auf den hier genannten Trojaner. Wir haben hier auf ChinaMobileMag bereits einige Leagoo Smartphones getestet und auf ausnahmslos jedem Gerät Schadsoftware gefunden. Die Funde beschränken sich nicht nur auf Trojaner sondern auch auf verschiedene Schnüffelprogramme und auch AdWare, welche den Nutzer mit Werbeeinblendungen nervt. Auch wir haben bereits mehrfach Kontakt mit Leagoo aufgenommen. Das Resultat war immer das gleiche. Entweder es wurde versprochen die Schadsoftware mit einem Update zu entfernen, was natürlich nie geschah, oder die Funde wurden als "False Positives" heruntergespielt.

Doch auch andere bekanntere Marken in der China Blase fallen immer wieder negativ auf. Im Beitrag von Dr.Web sind mehrere Doogee Smartphones zu finden, welche mit dem Android.Triada.231 Trojaner ausgeliefert werden. Und auch bei diesem Hersteller beschränkt es sich nicht auf diesen Trojaner. In Foren ließt man immer wieder, dass sich auf den Smartphones von Doogee Nutzern plötzlich selbsttätig unbekannte Apps installieren oder Werbeeinblendungen auftauchen. Auch wir haben mit Doogee Testgeräten schon ähnliche Erfahrungen gehabt - zuletzt mit dem BL12000, welches mit seinem Fake Akku (10.000mAh statt 12.000mAh) Schlagzeilen gemacht hat. Auch auf diesem Smartphone befindet sich AdWare, welche den Nutzer mit gelegentlichen Werbeeinblendungen stört und selbsttätig Einträge im PlayStore öffnet.

Ein weiterer berühmt-berüchtigter Hersteller ist UmiDigi. In der Vergangenheit ist dieser Hersteller hauptsächlich mit diversen Marketing-Lügen aufgefallen. Darunter falsch angegebene Kapazitätswerte der Akkus, nicht vorhandener Schutz gegen das Eindringen von Wasser und angeblicher 3D Face Unlock Technik, welche in Wahrheit nicht vorhanden ist. Doch auch Schadsoftware scheint hier ein zunehmendes Problem zu werden. Auf einem Budget Smartphone des Herstellers (UMi London), hat Dr.Web den Android.Triada.231 Trojaner nachweißen können. Und wie könnte es anders sein, auch bei UmiDigi beschränkt sich das Thema Schadsoftware nicht auf den benannten Trojaner. Ein Beispiel dafür ist das UmiDigi S2 Pro, ein stark überteuertes Smartphone und gleichzeitig eines der schlechtesten Geräte die wir bis dato von diesem Hersteller gesehen haben. Auch hier konnten wir selbst Schadsoftware in der mit Bloatware zugemüllten Original-Firmware nachweisen. Neben einem Trojaner-Fund spuckt der Virenscanner von ESET hier auch einen AdWare Fund aus. Und diese ist auch tatsächlich aktiv, denn auch beim UmiDigi S2 Pro öffnen sich immer wieder wie von Geisterhand Werbeeinblendungen. Auf Anfragen dazu - weder von uns noch von Nutzern - reagiert UmiDigi nicht.

Unterm Strich kann man so nur ein Fazit ziehen. Das Thema Schadsoftware hat sich zu einem der größten Probleme der Chinahandys entwickelt. Und das betrifft eben nicht nur den von Dr.Web identifizierten Trojaner, sondern diverse andere Schadsoftware. Betroffen sind dabei nicht nur Budget Geräte, sondern auch Smartphones im Preisbereich von über 200€. Man ist also keinesfalls auf der sicheren Seite, nur weil man ausschließlich teurere Chinahandys kauft. Der Umstand, dass keiner der Hersteller auch nur ansatzweise auf die Funde reagiert, verringert auch die Wahrscheinlichkeit, dass es sich hier um Unfälle handelt. Vielmehr drängt sich einem da der Verdacht auf, dass die Hersteller sich hier etwas dazuverdienen. Das nachzuweisen wird aber sehr schwer sein. Was kann man also dagegen tun? Im Grunde hat man nur zwei Optionen: Entweder man findet sich damit ab, oder man meidet Hersteller von Chinahandys, welche immer wieder mit Schadsoftware auf ihren Smartphones auffallen. Ob letzteres jedoch ausreicht um an der Situation etwas zu ändern, ist fraglich. Um ein Umdenken auszulösen, müsste für das Thema ein riesiger Käuferkreis sensibilisiert werden. Und ob genau das gelingt, ist fraglich.

Welche Schlüsse zieht ihr aus den gehäuften Funden von Schadsoftware auf Chinahandys? Werdet ihr künftig wieder auf etablierte Hersteller zurückgreifen oder weiterhin Chinakracher kaufen? Eure Meinung dazu ist in den Kommentaren gerne gesehen.

Quelle(n):

Dr.Web via Heise Security