Die Verlockung, ein Smartphone unter dem Ladenpreis zu kaufen, ist groß. Doch was im ersten Augenblick nach einem Schnäppchen ausschaut, kann Nutzer sehr teuer zu stehen kommen. Sicherheitsdienstleister warnen aktuell vor gefälschten Android-Smartphones, die unter anderem Apps einsehen, Chats lesen, Konten kapern, Zahlungen umleiten und Nutzer zu kostenpflichtigen Diensten anmelden können. Dabei muss das Handy nicht erst mit einem Virus infiziert werden. Der Trojaner „Triada“ ist bereits beim Kauf fest in der Firmware verankert.
Auf dem Handy ist Triada nahezu allmächtig
Der Sicherheitsdienstleister Kaspersky informiert derzeit vor einer neuen Variante der Triada-Malware. Demnach gelangt der bösartige Code möglicherweise durch ein kompromittiertes Element in der Lieferkette auf gefälschte Smartphones, die unter den Namen bekannter Hersteller in Online-Shops angeboten werden. Das Perfide dabei ist, dass sich die Malware schon beim Kauf auf dem Handy befindet – und in den Systempartitionen. Heißt unterm Strich: Sie lässt sich ohne professionelle Unterstützung praktisch nicht mehr entfernen.
Eine weitere Besonderheit der Triada-Malware ist, dass sie auf alle auf dem Gerät ausgeführten Apps zugreifen können soll. Zudem verfügt der Trojaner über spezielle Module, die zielgerichtet auf populäre Apps zugeschnitten sind. Mit Blick auf WhatsApp etwa sammelt ein Modul alle fünf Minuten Daten und sendet diese an einen C2-Server. Während ein weiteres Modul die Software in die Lage versetzt, eigenständig Nachrichten zu senden, zu empfangen und zu löschen.
Auch vermag es das Tool, alle eingehenden SMS-Nachrichten und Anrufe zu filtern und darauf zu antworten – etwa, um die Opfer für kostenpflichtige Dienste anzumelden. Zudem kommen SMS-Nachrichten oftmals im Rahmen der Zwei-Faktor-Authentifizierung (2FA) zum Einsatz. Folglich können die Kriminellen gegebenenfalls auch Konten kapern, die nicht einmal mit dem Smartphone verbunden sind.
Wer Kryptobesitzer ist, muss ebenfalls gut aufpassen. Denn Triada sucht in der Zwischenablage nach Adressen von Krypto-Wallets und ersetzt diese durch eine Adresse des Angreifers. Wobei Zahlungen laut einer Informationsseite des Bundesamts für Sicherheit in der Informationstechnik (BSI) auch allgemein umgeleitet werden können. Und natürlich kann der Trojaner weitere Malware herunterladen und installieren. Eine vollständige Liste der entdeckten Triada-Funktionen lässt sich im Kaspersky-Bericht einsehen.
Was können Nutzer tun, um sich zu schützen?
Der einfachste und sicherste Weg ist laut Kaspersky der, Smartphones ausschließlich bei autorisierten Händlern zu erwerben. Ferner kann ein Antivirus dabei helfen, die Anwesenheit von Triada festzustellen. Unabhängig davon ist jedoch zu empfehlen, auch generell auf die Anzeichen von Viren zu achten. Konkret: auf seltsames Verhalten des Smartphones. Triada kann beispielsweise unter anderem legitime Links in Browsern auf Werbeseiten umleiten. Falls so etwas passiert, sollte man als Nutzer stutzig werden.
Ist das Smartphone infiziert, empfiehlt es sich, potenziell gefährdete Apps nicht mehr zu verwenden und auch keine finanziellen Transaktionen mehr durchzuführen. Ferner raten die Sicherheitsexperten dazu, bei Chat- sowie Social-Media-Apps alle Sitzungen zu beenden und die Passwörter auszutauschen. Um Triada loszuwerden, muss derweil die Gerätefirmware ersetzt werden. Wer nicht über das dafür nötige Know-how verfügt, muss sich dazu an einen Fachmann respektive den Hersteller wenden.
