Themabewertung:
  • 1 Bewertung(en) - 5 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Smartphones mit Malware ab Werk
#1
Hallo zusammen, 

seid ungefähr einem Jahr geben einige Antivirenhersteller immer mal wieder aktualisierte Listen mit Smartphones heraus, die bereits ein kompromittiertes, also verseuchtes Android bei Lieferung besitzen. Neben vielen alten und neuen China-Telefonen aus dem Niedrigpreissegment bis 200 Euro findet man auch einige bekanntere Modelle wie:
...

[*]LG G4 - 

[*]Samsung Galaxy A5 - 

[*]Samsung Galaxy Note 2 - 

[*]Samsung Galaxy Note 3 - 


[*]Samsung Galaxy Note 4 -

[*]Samsung Galaxy Note 5 - 

[*]Samsung Galaxy Note 8.0 - 

[*]Samsung Galaxy Note Edge -  

[*]Samsung Galaxy S4 - 

[*]Samsung Galaxy S7 - 

[*]Samsung Galaxy Tab 2 - 

[*]Samsung Galaxy Tab S2 - 
...

und so weiter. Alle diese Telefone wurden wohl durch einen Drittzulieferer kompromitiert (wo genau ist man sich wohl nicht sicher). Der Schadcode sitzt in Kernelmodulen die sich direkt im ROM des Telefons befinden, bei machen Geräten aber auch nur im Dateisystem (damit leichter entfernbar) und die Schadapps und Adware nachladen können. Ich besitze selbst so ein betroffenes Telefon und kann bestätigen, das das Nachladen von Schadcode auch bei ausgeschaltetem WLAN und Mobilfunkmodus klappt! Warum? Das Android zeigt zwar an das WLAN oder die Mobilfunkverbindung deaktiviert wurde, in Wirklichkeit aber ist Sie es nicht! So können dann schon mal ein paar MB Datenverkehr unbemerkt in beide Richtungen (ins und aus dem Internet) erfolgen. Ein typisches Phänomen kann dabei auch folgendes sein: Als ich ein Telefon neu und versiegelt vom Händler bekommen habe, erblickte ich im Sicherheitsmenü das der Punkt "unbekannte Herkunft" aktiviert war. Das fand ich als Default-Einstellung schon reichlich komisch, habe also den Punkt deaktiviert.

   


Ein paar Tage später blickte ich erneut in das Menü und der Punkt war wieder "aktiviert" geschaltet. 

   

Ich habe an mir selbst gezweifelt und den Punkt jedesmal wieder deaktiviert. Nach Stunden/Tagen aber wurde die Installationsfreigabe wie von Geisterhand wieder aktiviert. Mir war also klar das hier etwas nicht stimmen konnte. Damals gab es nur vereinzelt Meldungen von einigen verseuchten Android-Compilerchains bei chinesischen Herstellern und das nur wenige Telefone davon betroffen sind. Übrigens lässt man die Einstellung permanent aktiv, geht das Android-System in den nächsten Schritt über und lädt nach Tagen, Wochen oder Monaten zwei Typen von Anwendungen nach:

1. Adware: Hier erhält man dann plötzlich bildschirmfüllende Werbung (Glücksspiele, Pornos, ...) über den Lockscreen ober bei laufender Benutzung. Einstellungen der installierten Webbrowser werden verändert. Praktisch ist die Werbung nur schwer wegklickbar, meist aber genügt ein Neustart um wieder ins Telefon zu kommen und man kann rechtzeitig die neuen "unbekannten" Apps im App-Menü deinstallieren bevor wieder Werbung  das Display sperrt.

2. Malware: als Betriebssystemkomponenten getarnt (aber ebenfalls im App-Menü sichtbar) die alles mögliche können. Nach außen hin stören Sie die GUI nicht (man bekommt sie also nicht mit), jedoch haben diese Komponenten Zugriff auf Mikros, Kamera, Kontakte, WLAN, Mobilfunk und so weiter. Mit meinem präperierten Lockvogel konnte ich tatsächlich über die Analyse der WLAN-Pakete festellen, das persönliche Daten aus den Kontakten, Chatprogrammen, SMS und co. in Richtung China abflossen. Auch kann das Telefon Teil eines Botnetzes werden und seine Rechenleistung bösen Buben zu Verfügung stellen. Ob die es dann für das Mining von Bitcoins oder zur elektronischen Kriegsführung einsetzen - who knows? Eine Deinstallation dieser Malware ist wie bei der Adware möglich, jedoch sinnlos wenn man nicht alle paar Stunden auf die oben gezeigte Einstellung achtet. Die Malware kommt wie die Adware wieder, man merkt die Installation nur nicht weil die Apps sich für normale Nutzer stumm verhalten.

Gibt es Lösungen für das Problem?  Ja.

Als erste (aber nicht ultimative) Maßnahme könnte man das Telefon im abgesicherten Modus starten. Bei normalen Androidversionen geht das so:

Neustart im abgesicherten Modus


Wenn das Gerät eingeschaltet ist:

  1. Halten Sie die Ein-/Aus-Taste des Geräts gedrückt.
  2. Tippen Sie auf dem Display auf das Symbol "Ausschalten" [Bild: dRFdymt8D-THjLtZubUHMBzaZV1CuPVrgUKMjMnK...ng=w18-h18] und halten Sie es gedrückt.
  3. Das Gerät wird im abgesicherten Modus gestartet. Am unteren Bildschirmrand steht "Abgesicherter Modus".
[*]

Wenn das Gerät ausgeschaltet ist:

  1. Drücken Sie die Ein-/Aus-Taste des Geräts.
  2. Das Google-Logo erscheint auf dem Bildschirm. Wenn die Animation beginnt, halten Sie die Leiser-Tastegedrückt. Halten Sie sie, bis die Animation beendet ist und das Gerät im abgesicherten Modus gestartet wird.
  3. Am unteren Bildschirmrand steht "Abgesicherter Modus".
[*]


Das Telefon lässt dann nur noch Googleapps zu, nach Beobachtungen können nun keine weiteren Apps (Adware oder Malware) nachgeladen werden. Man kann praktisch aber auch nur noch Telefonieren und SMS schreiben, viele andere Sachen sind gesperrt.

   

WICHTIG!!! Zwar wird jetzt das Nachladen von Code unterbunden, das Betriebssystem ist jedoch immer noch nicht vertrauenswürdig. Diese Lösung sollte also nur als Not- bzw. Übergangslösung betrachtet werden um Apps zu deinstallieren bis man sich ein frisches Android besorgt hat, sofern der Hersteller das nicht erledigen will oder kann. Freie und offene Android-Images für viele Telefone  gibt es ja genügend, Google hilft in diesem Fall weiter. 

Was braucht man neben einem Androidimage? Ein Datenkabel, in der Regel ja als Ladekabel mitgeliefert und zwei Stück Software. Für den "Marktführer" unter den Android-SoCs bis 200 Euro, Mediatek, gibt es die Software "SP Flash Tool" zum Flashen. https://spflashtool.com/

Welche Geräte einen Mediatek SoC benutzen findet man hier (nicht abschließend):
https://en.wikipedia.org/wiki/List_of_de...iatek_SoCs

Für Samsung-Telefone kann man auch eine Software mit dem Namen "Odin" verwenden.

Zusätzlich zu der Flash Software benötigt man noch die MediaTek USB VCOM - Treiber, für viele Samsung-Geräte gibt es eigene USB-Treiber.

Nachdem Treiber und Flash-Software installiert ist kann das Aufspielen einer neuen Firmware auf das Telefon erfolgen. Eine Step-by-Step Anleitung für Mediatek SoCs nachfolgend. 

ACHTUNG: FÜR DAS FLASHEN VON TELEFONEN ÜBERNEHME ICH KEINE VERANTWORTUNG! JEDER MACHT DAS AUF EIGENE GEFAHR !!!

Nach dem Start von SP Flash Tools sieht man folgendes Fenster:

   

Im Reiter "Download" wird der Download-Agent (i.d.R. MTK_AllInOne_DA.bin) angezeigt, dieser liegt bereits dem Flash-Tool bei. Andere Download-Agents können hinten über den Button "Download Agent" ausgewählt werden, ich belasse es bei dem Default-Wert.

   

Mit dem Distributionspaket der jeweiligen Androidversion erhält man für sein passendes SoC (also System-On-Chip, siehe Liste oben) eine Scatter-Datei. Diese wählt man über den Button "Scatter-loading" aus. Nach einem kurzen Moment wird links im Telefon die passende SoC-Version angezeigt. 

   

Im dritten Schritt (ich flashe immer alle Speicherbereiche) kann man auf den Download-Button klicken.

   

Nun wird das (wichtig: vollgeladene!!!) Smartphone mit niedergedrückter Powertaste per USB an den Rechner angeschlossen. Sobald das Telefon von Windows erkannt wird, kann die Powertaste losgelassen werden. Der Flashvorgang des Telefons startet ein paar Augenblicke später. Der Flashvorgang sollte jetzt nicht mehr gestört werden da sonst das Telefon "gebrickt", also ein Briefbeschwerer
wäre und nicht funktionieren würde. Passiert das, kann man das Telefon aber auch wieder "un-bricken".

Nach ein paar Minuten ist der Download des neuen Androids auf das Telefon abgeschlossen, es erscheint  folgende Meldung und das Telefon kann vom Rechner getrennt und neu gestartet werden. 

     

Die Nutzung anderer SoC-Flashsoftware erfolgt in der Regel genauso intuitiv und problemlos. Auf dem Telefon läuft nun ein frisches Android was von der Community auf Sicherheitslecks geprüft und gepflegt wird. Auf diesem Wege lassen sich selbst Telefone, die vom Hersteller längst keine Updates mehr bekommen, mit einem neuen Android versorgen. 

Hier mein kleines Samsung, der Akku läuft immer noch mehrere Tage. Vom Hersteller aber schon lange aufgegeben, letztes Update von Samsung war auf Android 4.2.1.

     

Eine viertel Stunde später, läuft das kleine Kerlchen mit einem Android Nougat (7) immer noch recht flott, Oreo (8) ist bereits in Planung und als Beta verfügbar.

   

ACHTUNG: FÜR DAS FLASHEN VON TELEFONEN ÜBERNEHME ICH KEINE VERANTWORTUNG! JEDER MACHT DAS AUF EIGENE GEFAHR !!!

So das war es erstmal von der Android-Front. Mein Liebling bleibt aber nach wie vor ein altes aber immer noch sehr gut brauchbares iPhone4s mit iOS. Hier hört dann nur Apple über Siri und vielleicht die NSA mit.  Smiley58
Ansprechpartner für Umbau oder Modernisierung von Röhrenradios mittels SDR,DAB+,Internetradio,Firmwareentwicklung. 
Unser Open-Source Softwarebaukasten für Internetradios gibt es auf der Github-Seite! Projekt: BM45/iRadio (Google "github BM45/iRadio")
Zitieren
#2
Öhmm ja,

Ich habe ein Galaxy A5.6 (ein Jahr alt).
Habe gleich mal geschaut und der von dir genannte Punkt ist aus/deaktiviert.

Also für mich: ???


Viele Grüße,

Axel Smile
Womit fährt der Norweger zur Mittagspause...?
...Na mit einem Fjord Siesta! Wink
Zitieren
#3
Hi,

Ich habe ein S7 und da ist die Installation aus unbekannten Quellen auch deaktiviert.

Gruß
Oliver
Zitieren
#4
Hallo Bernhard45 Smile

Interessanter Beitrag,  vielen Dank.  Kommt mir schon seltsam vor, ich kenne niemanden, bei dem es solche Phänomene gibt.
Bei meinem Smartphone (Sony Xperia Z3 Compact) ist alles OK, unbekannte Quellen sind stets (von alleine) deaktiviert.

Woher beziehst Du denn Deine Telephone?  Vielleicht solltest Du auch darüber nachdenken?

Beste Grüße, von Peter aus MV
~~~~~ DE - MV  /  Connected ~~~~~
Zitieren
#5
Hallo Bernhard,

herzlichen Dank für genaue Vorgehensweise mit entsprechenden Links! Bei mir liegt noch so ein Kandidat in der Schublade und staubt langsam ein. Den werde ich mir die Tage mal greifen.

Es war als reines "Notfallgerät" gedacht und wurde nur recht selten genutzt. Allerdings lief es regelmäßig mal und die Ladung des Akkus wurde natürlich auch überprüft. Dieses Teil geht noch einen Schritt weiter. Es schaltet sich selbstständig ein, versendet Daten, vergisst dann allerdings das Smartphone wieder auszuschalten. So stehen die Chancen 50 zu 50 dass man das Smartphone im Ernstfall auch benutzen kann und der Akku nicht leer ist. Nicht nur für ein Notfallgerät ein absolutes No go!

@ Peter
Dieses Smartphone wurde direkt beim Hersteller erworben (Cubot). Sicherlich habe ich das reklamiert, aber der Hersteller stellte sich taub. In Anbetracht des Preises wurde es letztendlich eingemottet und auf einen wohl aussichtslosen Rechtsstreit verzichtet.

Beste Grüße

Peter
Zitieren
#6
(03.04.2018, 03:20)Peter-MV schrieb: Woher beziehst Du denn Deine Telephone?  Vielleicht solltest Du auch darüber nachdenken?

Direkt vom Netzbetreiber(!!!) Peter. Das ist ja das tolle an der Sache, die Telefone kommen direkt so vom Hersteller zum Kunden und einige Serien des Modells haben dann bereits die Schadsoftware im System. Man kann es ja in der Presse und bei den AV-Herstellern nachlesen, niemand genau (selbst die Hersteller) wissen nicht wo die Telefone genau infiziert oder modifiziert wurden. Es will also mal wieder keiner Schuld daran haben, kennen wir ja von anderen Branchen auch hier aus Deutschland.

Das ganze hat für mich den gleichen faden Beigeschmack wie Spectre und Meltdown bei den Intel/AMD-CPUs! Der Nutzer muß wiedermal selbst ran und das bei fabrikneuen Geräten.

PS: Nochmal, infizierte Telefone müssen nicht das Verhalten oben zeigen (sprich Aktivierung des Nachladens aus unbekannten Quellen), das machen nämlich nur einige Geräte mit bestimmten Schadcode (nämlich die, die auf das Nachladen von Apps abzielen). Es gibt aber Infektionen die gleich Spionieren oder sie stellen die Rechenleistung des Telefons direkt einem Botnetz zur Verfügung ohne das Apps nachgeladen werden. Ein paar mal wurde auch Ransomware gefunden. Wenn man nach bestimmten Modellen in Verbindung mit werksseitiger Malware sucht, findet man meist genau den Namen der Schadsoftware die aufgespielt wurde und nicht im App-Menü erscheint. Hier hilft nur die eigene Suche auf dem Dateisystem/Arbeitsspeicher des Telefons und wenn man etwas findet, die Entfernung. Bei mir lag der Mist direkt im Betriebssystem und kann nur durch ein frisches Android beseitig werden. Ich habe mich deshalb gleich für das Flashen einer neueren Version von Android entschieden. Das alte verseuchte Android-Image habe ich mir vom Telefon geladen um damit einige Experimente anstellen zu können.
Ansprechpartner für Umbau oder Modernisierung von Röhrenradios mittels SDR,DAB+,Internetradio,Firmwareentwicklung. 
Unser Open-Source Softwarebaukasten für Internetradios gibt es auf der Github-Seite! Projekt: BM45/iRadio (Google "github BM45/iRadio")
Zitieren
#7
Heute mal eine "Abhörmöglichkeit" die jedes Android Telefon mitbringt und bei dem keine Schadsoftware nötig ist. Die Rede ist vom Engineer mode eines Telefons. Um in dieses "versteckte" Menü zu kommen ist in der Regel nur die Eingabe eine Ziffernfolge nötig, bei MTK-SoCs (Liste siehe oben) wäre es zum Beispiel: *#*#3646633#*#*

In diesem Modus hat man die totale Kontrolle über seine Hardware, sämtliche DSP-Parameter lassen sich ändern oder auch die Sende- und Empfangshardware des Gerätes neu konfigurieren, Netzmonitor,  Antennentests durchführen, IMEI-Nummern ändern (daran haben wohl Diebe und unehrliche Finder eines Telefons den meisten Spaß), gesperrte Basisstationen anfunken, und und und. Halt alles was der Techniker in der Entwicklung und im "Fieldtest" braucht.

Hier mal ein paar Screenshots des Engineer Modus.


.jpg   IMG-0036.JPG (Größe: 33,98 KB / Downloads: 82)
.jpg   IMG-0037.JPG (Größe: 31,44 KB / Downloads: 82)
.jpg   IMG-0038.JPG (Größe: 32,6 KB / Downloads: 82) es gibt noch viel mehr zu sehen, aber darum soll es nicht gehen.

Bei Andoid Telefonen gibt es die Möglichkeit sämtliche Audiosignale innerhalb des Betriebssystems mitzuschneiden und in Dateien wegzuschreiben. 
Den Standardpfad kann man zum Beispiel auch auf ein Netzwerkverzeichnis "umbiegen", dann werden die Daten nicht im Telefon gespeichert, sondern da wo ich möchte und daß kann überall auf der Welt sein. Auch ein eventgesteuertes Verschicken dieser Dateien 
an eine Email-Adresse wäre denkbar. Vielleicht ein Traum für eine eifersüchtige Frau die Ihren untreuen Mann überwachen will? 


.jpg   IMG-0039.JPG (Größe: 35,82 KB / Downloads: 80)
.jpg   IMG-0042.JPG (Größe: 36,1 KB / Downloads: 80)

Schauen wir jetzt mal in den Zielspeicher sehen wir, dass für jede "Bewegung" eines Audiosignals (also auch Telefongespräche) eine eigene Datei angelegt wird. Für Telefongespräche sogar mit Datum und Uhrzeit.


.jpg   IMG-0043.JPG (Größe: 41,39 KB / Downloads: 80)

Achso, das ganze lässt sich in ähnlicher Weise auch für GPS-Daten, SMS, Whatsapp-Nachrichten umsetzen. Welcher Schlapphut Cool braucht da noch eine zusätzliche App, wenn ein paar Tastendrücke ausreichen.  Natürlich können Geheimdienste (und wir ja praktisch auch) das alles sogar Remote nutzen. Da macht das nächste mobile Telefongespräch doch richtig Spaß.
Ansprechpartner für Umbau oder Modernisierung von Röhrenradios mittels SDR,DAB+,Internetradio,Firmwareentwicklung. 
Unser Open-Source Softwarebaukasten für Internetradios gibt es auf der Github-Seite! Projekt: BM45/iRadio (Google "github BM45/iRadio")
Zitieren
#8
Hallo,

so etwas bestärkt nur meine Theorie dass es heutzutage gar keine Wanzen mehr benötigt um jemanden abzuhören. Herzlich willkommen in der digitalen Welt.

Gruß
Oliver
Zitieren
#9
Ja Oliver, ein Grund warum unsere Berliner Regierungscrew nicht auf normale Smartphones von der Stange setzt. Abhilfe würden hier nur Scrambler bringen, die vor(!) dem Mic und hinter(!) dem Ohrhörer hängen. Die Gegenstelle braucht dann natürlich auch so ein Ding und etwas schäferes als das IC FX118 sollte es schon sein. Mit dem Ding hat man ja in den 90igern jeden verschlüssselten BOS-Ruf und jedes C-Netz-Telefonat auf bekommen.
Ansprechpartner für Umbau oder Modernisierung von Röhrenradios mittels SDR,DAB+,Internetradio,Firmwareentwicklung. 
Unser Open-Source Softwarebaukasten für Internetradios gibt es auf der Github-Seite! Projekt: BM45/iRadio (Google "github BM45/iRadio")
Zitieren


Möglicherweise verwandte Themen…
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Shiftphones (nachhaltige Smartphones Made in Germany) Peter-MV 21 7.336 30.06.2020, 21:57
Letzter Beitrag: Peter-MV
  Alte Samsung Smartphones mit neuen Betriebssystemen wieder flott gemacht Bernhard45 10 3.882 17.04.2018, 12:00
Letzter Beitrag: Heinz-Werner

Gehe zu: