In der vergangenen Woche machte das Thema Schadsoftware auf Chinahandys wieder die Runde durch die Medien. Grund dafür war ein Update von Dr.Web bzgl. der bereits im Jahr 2017 aufgefallenen Häufung des Android Trojaners "Triada" auf günstigen Smartphones und Chinahandys. Im jüngsten Bericht gab Dr.Web bekannt, dass die Anzahl der betroffenen Geräte wächst statt zurück geht. In unserem Beitrag zu dem Thema sprachen wir auch ein generelles Problem bzgl. Schadsoftware auf Chinahandys an. In unseren Tests gibt es hier immer wieder Hersteller die in dieser Hinsicht immer wieder negativ auffallen. Besonders betroffen ist hier der Hersteller Leagoo, von dem wir noch nie auch nur ein einziges Smartphone getestet haben, welches nicht mit irgend einer Form von Schadsoftware ausgestattet war. Unsere bisherige Erfahrung mit Leagoo war, dass man das Problem völlig ignoriert oder herunterspielt. Auf Anfragen dazu wird entweder gar nicht reagiert, oder man spricht von Falschmeldungen.
Als Dr.Web im vergangenen Jahr den Triada Fund auf einigen günstigen Android Smartphones erstmals publik machte, gab es von Leagoo ebenfalls ein Statement. In diesem entschuldigte man sich bei seinen Kunden, gab jedoch das Vorhandensein eines Trojaners nicht zu. Stattdessen schob man die Schuld einer angeblichen Adware zu, die sich in einigen APK Dateien des Herstellers befand und versprach diese mit einem Update zu beseitigen. Laut dem Statement hat man auch mit Dr.Web Kontakt aufgenommen um das Problem aufzuklären. Seltsam nur, dass Dr.Web davon keine Kenntnis hat (siehe Angaben im jüngsten Bericht). Das Interessante an der Sache ist, dass sich seitdem nichts geändert hat. Auf Leagoo Smartphones lässt sich nach wie vor mit jedem beliebigen Antivirus verdächtige Software finden. Ein Beispiel dafür ist das jüngst getestete Leagoo T5C, bei dem der Launcher mit einem Trojaner infiziert ist, welcher potentiell Daten abgreifen oder ungefragt Programme nachinstallieren kann. Ob auch der Triada Trojaner mit am Start ist, können wir mangels Root Zugriff nicht sagen.
Werbung
{eblogads}
Neues Statement: Leagoo ist das Opfer
In einem neuen Statement nimmt Leagoo nun abermals Stellung zu den erneuten Vorwürfen von Dr.Web. Das Beunruhigende daran ist, dass Leagoo das Problem offensichtlich nicht ernst nimmt. Stattdessen gibt es wieder Ausreden und Schuldzuweisungen. So deklariert Leagoo den Beitrag von Dr.Web sowie die Berichte zahlreicher Medien als "Fake News" und droht sogar mit rechtlichen Schritten gegen Publikationen. Es scheint fast so, als würde Leagoo die Enthüllung als persönlichen Angriff werten, dabei werden in dem Beitrag von Dr.Web auch zahlreiche andere Hersteller genannt. Leagoo behauptet zudem abermals, dass man das Problem behoben habe, was generell betrachtet einfach nicht stimmt. Wie bereits oben erwähnt, finden wir auf Leagoo Smartphones nach wie vor Schadsoftware. Ob diese nun aktiv ist oder nicht ist dabei völlig irrelevant. Das reine Vorhandensein ist bereits ein No-Go und diese konstante Ignoranz von Leagoo mehr als nur besorgniserregend.
In early March of 2018, some media quoted the above-mentioned anti-virus software company's data without verification and completely ignored the fact that LEAGOO had already solved the issue of "virus alert". Instead, these media reported that the LEAGOO mobile phones were "virus infected", and released a list of LEAGOO "virus" phones. What is even more outrageous is that the "virus alert" from the original data was exaggerated into "bank virus software", which led to extremely bad influence on LEAGOO reputation. For such false reports, legal actions will be taken by LEAGOO against relevant media and publishers.
- Leagoo
Was an den Leagoo Statement auch immer wieder interessant ist, ist das konstante Erwähnen von irgendwelchen infizierten APK Dateien. Genau darum geht es zwar bei den von uns immer wieder erwähnten Funden - z.B. im Launcher des Leagoo T5C - nicht aber in den Berichten von Dr.Web. Der von Dr.Web nachgewiesene Android Trojaner Triada hat nämlich nichts mit APK Dateien zu tun. Es handelt sich hier um eine Schadsoftware die sich direkt in einer Kernkomponente von Android einnistet. Das Brisante an der Sache ist eben, dass sie nicht ohne weiteres entfernt werden kann, wie das bei einer infizierten APK Datei der Fall wäre. Hinzu kommt, dass Antivirus Apps für Android den Trojaner nur dann finden können, wenn Root Zugriff besteht. Ist das nicht der Fall, haben die Apps keinen Zugriff auf den entsprechenden Bereich in dem sich die Schadsoftware befindet und können diesen damit auch nicht Scannen.
Der Triada Trojaner hat auch nicht wirklich etwas mit irgendwelchen "Werbe-Mechanismen" zu tun, wie es Leagoo in der Stellungnahme beschreibt.
In July 2017, a foreign anti-virus software company claimed that some of our entry-level phones were infected with the so-called "virus", which were detected by this company's antivirus software. LEAGOO contacted this company immediately and found that it was a false virus alert caused by some APK codes intended for advertisements.
- Leagoo
Bei Triada handelt es sich tatsächlich um eine Modulare Schadsoftware die bereits seit 2016 ihr Unwesen treibt und zu Beginn nur eine Art Proof of Concept war. Es existieren zahlreiche Variationen mit unterschiedlichen Auswirkungen. Im Falle der jüngsten Funde handelt es sich um Android.Triada.231. Die immer weitere Verbreitung die von Dr.Web nachgewiesen wurde zeigt, dass das Stadium des Proof of Concept längst überschritten ist und die Schadsoftware aktiv zum Einsatz kommt. Die Kernkomponentevon Triada, welche sich in den Android Kern einnistet, ist quasi eine Art Backdoor, über diese dann auch das Nachladen von Funktionen möglich ist. Das reicht vom simplen Nachinstallieren von Apps über das Versenden kostenpflichtiger SMS bis hin zum Abgreifen von Daten (das Android Sandboxing ist hier wirkungslos). Und besonders das Thema Nachinstallieren von Apps dürfte langjährigen Nutzern von Chinahandys durchaus bekannt sein. Man muss nicht lange recherchieren um zahlreiche Fälle von Nutzern zu finden, die über sich selbst installierende Apps auf ihren Chinahandys klagen. Und ja, da sind auch Geräte von Leagoo dabei, sowie Geräte die in der Liste von Triada-infizierten Smartphones von Dr.Web zu finden sind. Wer sich davon überzeugen möchte, der gibt bei Google einmal "[HERSTELLER] apps installieren sich selbstständig".
Halten wir also fest: Leagoo kann hier noch so sehr mit Ausreden um sich werfen und versuchen das Problem zu ignorieren - es bleibt ein Fakt, dass dieser Hersteller ein konstantes Problem mit Schadsoftware hat. Und von allen Chinahandy Herstellern fällt Leagoo hier deshalb am meisten auf, da eben ausnahmslos jedes Gerät des Herstellers betroffen ist - zwar nicht mit dem Triada Trojaner, wohl aber mit Schadsoftware diverser anderer Art, sei es Adware und ähnlicher Müll, der auf einem Smartphone ab Werk nichts zu suchen hat. Bei den anderen Herstellern sind es immer nur vereinzelte Geräte die auffällig sind. So muss Leagoo auch künftig mit entsprechenden Meldungen leben, woran auch die Androhung rechtlicher Schritte nichts ändert. Leagoo sollte sich lieber mal darauf konzentrieren die Missstände tatsächlich zu beheben. Doch daran hat man offensichtlich kein Interesse.
Quelle(n):
Leagoo (aktuelles Statement) / ZDNet (erstmaliges Triada aufkommen) / Kaspersky (ausführliche Triada Analyse)