Auch Geräte von Archos und ZTE betroffen: Avast warnt vor Android-Smartphones mit Malware

Mehr als tausend verschiedene Android-Modelle sind laut Avast ab Werk mit einem sogenannten »Dropper« bestückt, der beliebige Anwendungen nachladen kann. Derzeit installiert er nur Adware, doch die Tür für Spyware oder Ransomware steht offen.

(Foto: Andrey Popov - Fotolia)

Auf mehr als tausend verschiedenen Android-Geräten haben die Sicherheitsexperten von Avast die Adware »Cosiloon« entdeckt, die bereits seit drei Jahren bekannt ist und im Browser unerwünschte Werbung einblendet. Das Problem dabei: Die Adware war nicht nur vorinstalliert auf den Smartphones, darunter Modelle von Archos, myPhone und ZTE, sondern wurde nach dem Löschen auch immer wieder neu installiert. Dafür verantwortlich ist ein sogenannter »Dropper«, der im Hintergrund immer wieder neue Programme laden kann, aber selbst kaum zu entfernen ist, da er tief in die Firmware der Telefone verankert wurde. Damit habe »das Handy eine dauerhafte Schwachstelle, die es unbekannten Dritten ermöglicht, unerwünschte Software zu installieren«, warnt Avast. Bislang habe man lediglich ein Nachladen der Adware entdeckt, doch es könnte auch Spyware oder Ransomware installiert werden.

Wie der Dropper in die Firmware eingeschleust wurde, ist nicht bekannt. Avast hat das Security-Team von Google hinzugezogen, das etwa »Google Play Protect« angepasst, aber auch die Firmware-Entwickler kontaktiert hat. Avast zufolge handelt es sich bei den meisten betroffenen Modellen um Geräte, die nicht von Google zertifiziert sind. Zudem würden weiterhin Geräte mit dem vorinstallierten Dropper verkauft. Dieser lasse sich in den »Einstellungen« unter »Apps« finden und trage meist Namen wie »CrashService«, »ImeMess« oder »Terminal« und habe ein allgemeines Android-Icon. Avast rät, ihn mit »Deaktivieren« abzuschalten, weist aber darauf hin, dass das nicht bei jedem Gerät funktioniere.

»Infizierte Apps können leider schon vor dem Verkauf auf Firmware-Ebene installiert werden – vermutlich ohne Wissen oder Zutun der Hersteller«, erklärt Nikolaos Chrysaidos, Head of Mobile Threat Intelligence & Security bei Avast. »Wenn eine App auf der Firmware-Ebene installiert wurde, ist es sehr schwer, sie zu löschen. Dazu bedarf es einer Zusammenarbeit von IT-Security-Herstellern, Google und den Erstausstattern, also den OEMs. Nur zusammen können wir mehr Sicherheit für die Android-Nutzer erreichen.«