Ein Android-Handy, das von der US-Regierung für einkommensschwache Nutzer subventioniert wurde, ist mit Malware vorinstalliert, die nicht entfernt werden kann, ohne dass das Gerät nicht mehr funktioniert, berichteten Forscher am Donnerstag.
ARS TECHNICA
Diese Geschichte erschien ursprünglich auf Ars Technica, einer vertrauenswürdigen Quelle für Technologie-Nachrichten, Analysen technischer Richtlinien, Rezensionen und mehr. Ars gehört der WIRED-Mutter Condé Nast.
Das UMX U686CL wird vom Assurance Wireless-Programm von Virgin Mobile bereitgestellt. Assurance Wireless ist ein Ableger des Lifeline Assistance-Programms, eines Plans der Federal Communications Commissions, der Millionen einkommensschwacher Familien kostenlose oder staatlich subventionierte Telefondienste zur Verfügung stellt. Das Programm wird oft als Obama-Telefon bezeichnet, da es 2008 erweitert wurde, als Präsident Barack Obama sein Amt antrat. Das UMX U686CL läuft mit Android und ist für berechtigte Benutzer für 35 US-Dollar erhältlich.
Forscher bei Malwarebytes sagten am Donnerstag, dass das Gerät mit einigen bösen Überraschungen kommt. Vertreter von Sprint, dem Besitzer von Virgin Mobile, sagten derweil, die Apps seien nicht böswillig.
Die erste ist stark verschleierte Malware, die Adware und andere unerwünschte Apps ohne Wissen oder Erlaubnis des Benutzers installieren kann. Android / Trojan. Dropper. Agent. UMX enthält auffällige Ähnlichkeiten zu zwei anderen Trojanern. Zum einen werden identische Textzeichenfolgen und nahezu identischer Code verwendet. Zum anderen enthält es eine codierte Zeichenfolge, die beim Decodieren eine versteckte Bibliothek mit dem Namen com.android.google.bridge. Liblmp enthält.
Sobald die Bibliothek in den Speicher geladen ist, installiert sie die Software Malwarebytes, die Android / Trojan. HiddenAds aufruft. Anzeigen werden aggressiv geschaltet. Nathan Collier, Forscher bei Malwarebytes, sagte, Benutzer des Unternehmens hätten berichtet, dass die versteckte Bibliothek eine Variante von HiddenAds installiert, die Forscher jedoch nicht in der Lage waren, diese Installation zu reproduzieren, möglicherweise, weil die Bibliothek einige Zeit darauf wartet.
Die Malware, die diese Programme installiert, ist in der Einstellungs-App des Telefons versteckt. Das macht eine Deinstallation praktisch unmöglich, da das Telefon ohne sie nicht richtig funktioniert. "Deinstallieren Sie die App" Einstellungen ", und Sie haben gerade ein teures Papiergewicht hergestellt", schrieb Collier.
Die zweite unangenehme Überraschung, die das UMX U686CL bietet, heißt Wireless Update. Es bietet zwar einen Mechanismus zum Herunterladen und Installieren von Telefonaktualisierungen, lädt jedoch auch eine Unmenge unerwünschter Apps ohne Erlaubnis. Die App ist eine Variante von Adups, einer App eines in China ansässigen Unternehmens mit dem gleichen Namen. Im Jahr 2016 haben Forscher Adups dabei erwischt, wie er heimlich Benutzerdaten auf Hunderttausenden von Low-Cost-Telefonen von BLU sammelte.
"Ab dem Moment, in dem Sie sich auf dem mobilen Gerät anmelden, startet Wireless Update die automatische Installation von Apps", sagte Collier. "Um es zu wiederholen: Es wurde keine Einwilligung des Benutzers dazu gesammelt, keine Schaltflächen zum Akzeptieren der Installationen, es werden nur Apps selbst installiert."
Während alle von Malwarebytes untersuchten installierten Apps sauber und frei von Malware waren, stellt das Vorhandensein einer Funktion, die Apps automatisch installiert, ein inakzeptables Risiko dar, zumal das Entfernen der Funktion den Erhalt von Updates für das Telefon verhindert. In Colliers Beitrag wurde Wireless Update als Malware eingestuft, aber Jérôme Segura, Chef der Bedrohungsdatenbank von Malwarebytes, sagte mir, dass es sich bei der Klassifizierung um ein PUP oder ein potenziell unerwünschtes Programm handelt, da es keinen Hinweis darauf gibt, dass die installierten Apps schädlich sind.
In jedem Fall machen die beiden von Malwarebytes analysierten Apps den UMX U686CL zu einer schlechten Wahl. Die Tatsache, dass es Benutzern mit niedrigem Einkommen zur Verfügung gestellt wird, verschlimmert die Beleidigung nur. Malwarebytes teilte mit, es habe Assurance Wireless über seine Ergebnisse informiert und gefragt, warum das verkaufte Telefon mit vorinstallierter Malware ausgestattet sei. Bisher hat noch niemand geantwortet. In einer E-Mail sagten Sprint-Mitarbeiter: "Wir sind uns dieses Problems bewusst und wenden uns an den Gerätehersteller Unimax, um die Hauptursache zu verstehen. Nach unseren ersten Tests glauben wir jedoch nicht, dass die in den Medien beschriebenen Anwendungen Malware sind."
Es ist nicht schwer, Online-Diskussionen wie diese zu finden, die sich über lästige angezeigte Anzeigen und Apps beschweren, die automatisch ohne Benutzererlaubnis auf dem Gerät installiert werden. Ein ähnlicher Thread befasst sich mit Anzeigen, die auf dem Homescreen angezeigt werden, auch wenn ein Browser nicht ausgeführt wird.
Im Laufe der Jahre wurde auf einer Reihe kostengünstiger Android-Telefone verschiedener Anbieter und Hersteller vorinstallierte Malware gefunden. Eine unvollständige Liste enthält eine Hintertür für Hunderttausende von BLU-Geräten, eine leistungsstarke Hintertür und ein Rootkit für BLU-Geräte sowie verdeckte Downloader für 26 verschiedene Telefonmodelle verschiedener Hersteller.
