Vorsicht beim Kauf von Mini-PCs: Trojaner und Malware vorinstalliert

In Zeiten, in denen die Vernetzung von Alltagsgegenständen immer weiter fortschreitet, wird die Sicherheit von elektronischen Geräten ein immer drängenderes Thema. Besonders prekär wird es, wenn die Geräte aus Quellen stammen, die nicht vollständig unter Kontrolle sind. Mini-PCs, die oft aus kostengünstigen Quellen importiert werden, haben jüngst gezeigt, dass sie nicht frei von Risiken sind. Berichte über vorinstallierte Malware auf Geräten von Herstellern wie AceMagic und Kamrui haben Verbraucher alarmiert.

Um welche Geräte & Hersteller geht es?

Aktuell findet man einige Meldungen des Herstellers AceMagic/Ace Magician/NiPoGi & Kamrui, dass in den neueren Geräten 

• AK1 Plus RGB
• S1
• AD08 (12900H)

eine sehr bösartige Schadsoftware in der Windows Installation und Wiederherstellungspartition von Windows mit ausgeliefert wird. 

Was ist passiert & Statement

AceMagic hat auf X/Twitter ebenso wie auf ihrer Webseite ein Statement dazu veröffentlicht und Lösungsvorschläge mit einer sauberen Windows-Installation veröffentlicht, ebenso gibt es einen 60€ Gutschein für den nächsten Kauf in dem Shop.

Ob ich die nun bereitgestellten Windows Daten laden und installieren würde? Vermutlich nicht.

In der offiziellen Meldung ist zu vernehmen, dass es Probleme mit einem früheren Lieferanten von Masseninstallationssystemen gab, der scheinbar ungefragt und ohne Genehmigung andere Software (Schadsoftware) zusätzlich installierte. 

Man ist dem Ganzen jetzt zwar auf die Spur gekommen und hat einen neuen Partner gefunden, dennoch bleiben noch etliche Geräte der ersten Chargen im Umlauf und werden vermutlich fleißig weiter abverkauft. In der neuen Charge ist dieser Trojaner laut Aussage des Herstellers (!) nicht mehr zu finden.

Das Ganze ist allerdings nur ein Tropfen auf den heißen Stein, denn es wird sicherlich Käufer der ersten betroffene Chargen geben, die nichts von ihrem Pech wissen. 

Ebenso werden wir die Geräte sicher auch unter ganz anderen Namen im Internet auf den unterschiedlichsten Seiten finden. Das liegt daran, dass diese und andere technischen Geräte als OEM Ware hergestellt werden und je nach Kunde mit anderen Brands/Namen bedruckt werden. Entsprechen ist die Dunkelziffer welche Systeme betroffen sind, sicherlich wesentlich höher als wenn man nur das AceMagic Portfolio analysieren würde.

Um welchen Virus/Trojaner/Malware handelt es sich?

Auffällig ist zudem, dass auf einigen Systemen bereits der Google Chrome Browser vorinstalliert ist, was definitiv nicht zu einer Standard frischen Windows Installation passt und gehört.

Folgender Schädlinge wurde auf den befallenen Systemen gefunden.

Backdoor:Win32/Bladabindi!ml

(Screenshot von „The Net Guy Reviews„)

Die Dateien könnten in folgenden Ordner liegen (Je nach System und Gerät)

• C:\recovery\OEM\osver\endidev.exe
• C:\Windows\OSVer\ENDEV.exe
• C:\Windows\OSVer\MyOem.exe

Bei einigen Modellen war die LED Steuerungssoftware betroffen.

• C:\Windows\oem\CYX_TftTool\LedControl.exe

Was macht dieser Tojaner?

Es wurde festgestellt, dass der Trojaner Bladabindi auf einigen Modellen vorinstalliert war. Diese Malware ist besonders gefährlich, da sie nicht nur eine Hintertür für weitere Infektionen öffnet, sondern auch sensible Daten wie Passwörter und Zugangsinformationen ausspähen kann. Der Trojaner hat die Fähigkeit, unbemerkt weiteren Schadcode nachzuladen und umfassend Daten zu sammeln, was ihn zu einer ernstzunehmenden Bedrohung macht. Ebenso greift er wohl Crypto Wallets ab und stiehlt CSV Daten und Texte.

Im schlimmsten Fall versucht man euch später mit diesen gestohlenen Daten zu erpressen.

Was kann ich grundsätzlich machen?

Die beste Verteidigung gegen solche Bedrohungen ist Vorsicht und proaktives Handeln. Hier einige empfohlene Schritte:

• Vermeidung von Riskoquellen
  • Bevorzuge beim Kauf von Mini-PCs etablierte Händler und Marken, die eine nachweisbare Qualitätssicherung und Support bieten.
• Sicherheitsüberprüfung vor Inbetriebnahme
  • Führe eine vollständige Systemüberprüfung mit zuverlässigen Sicherheitslösungen durch, bevor du ein neues Gerät in Betrieb nimmst.
• Regelmäßige Updates
  • Halte dein Betriebssystem und deine Anwendungen stets aktuell, um Sicherheitslücken zu schließen.
• Backup und Wiederherstellung
  • Stelle sicher, dass wichtige Daten regelmäßig gesichert werden und ein Plan zur Wiederherstellung im Notfall vorhanden ist.
• Überprüfen
  • Lasse per Virustotal.com/gui/home/upload gefundene und betroffene Daten prüfen

Am Sichersten wäre es aber wohl direkt nach dem Kauf solch eines PCs, sämtliche Partitionen zu löschen und ebenso auf eine eigene Windows-Installation zu setzen. Alternativ lässt sich natürlich auch Linux oder jedes andere, beliebige Betriebssystem nutzen. Das wiederum übersteigt aber die technischen Fähigkeiten einiger Nutzer. Also auch nicht die beste Lösung, zudem muss man eventuell den Kauf eines neuen Windows Keys mit einberechnen muss.

Ein eventuelles Problem könnte aber sein, dass einige der verbauten Hardware-Komponenten nicht über die automatische Windows Treibersuche abgedeckt werden könnten. Als Beispiel gibt es einige WLAN Treiber nur direkt beim Hersteller, als .zip Datei zum Download.

Waren unsere Geräte betroffen?

Glücklicherweise soweit nicht. Im Jahre 2022 hatten wir den Ace Magician AMR 5 (AMD Ryzen 5 5600U, 16/512 GB SSD) vorgestellt. Dort lag ein sauberes Betriebssystem vor. In dem Zuge hab ich die momentan von uns/mir verwendeten Mini PC ebenso geprüft. Darunter sind der T-Bao MN35, der T-Bao MN59  und der T-Bao NM78.

Diese Systeme sind nicht von dem Bladabindi Trojaner betroffen. Beim MN78 fand ich dahingegen aber einen andere, aber eher harmlose zusätzliche Software:

HackTool:Win32/KeyGen.V!MBT

Der Microsoft Defender Antivirus erkennt und entfernte aber diese Bedrohung.

„Hacktools können verwendet werden, um Software zu patchen oder zu „knacken“, sodass sie ohne gültige Lizenz oder echten Produktschlüssel ausgeführt werden kann. Seien Sie vorsichtig beim Ausführen von Hacktools, da diese mit Malware oder unerwünschter Software in Verbindung gebracht werden können.“

So ein Zitat von der Microsoft Webseite. 

Warum war dieses Hacktool auf dem PC? Vermutlich um die Windows Lizenz zu manipulieren. Offiziell würde ein legaler Windows 11 Key um die 149€ kosten. Mehr wurde auf dem PC glücklicherweise nicht gefunden, hinterlässt aber dennoch einen faden Beigeschmack.

Auch hier gibt es unterschiedlichste Anbieter mit der markanten Optik, denn auch hier handelt es sich um ein jeweils gebrandetes OEM Produkt, das vermutlich aus einer Produktionsstrecke in China kommt. Egal ob nun T-Bao, Ace Magician oder auch als Docooler Mini-PC auf Amazon zu finden. Somit kann niemand mit genauer Sicherheit genau sagen, welche Geräte noch betroffen sein könnten.

Was lässt sich daraus nun schließen?

Die Bedrohung durch präparierte Geräte wird nicht verschwinden und erfordert eine erhöhte Aufmerksamkeit aller Beteiligten. Die Technologieindustrie muss mehr in die Sicherheit investieren, und die Nutzer müssen lernen, mit den Risiken umzugehen.

Wer dennoch zu günstigeren Geräten greifen will, sollte gewisse Sicherheitsvorkehrungen vornehmen:

• ein gesichertes Gastnetzwerk nutzen
• die Partitionen nach Schadsoftware durchsuchen lassen
• 2-Wege Authentifizierungen für sämtliche Logins anlegen
• alle Partitionen löschen und eine eigene Windows/Linux/etc.-Installation mit sauberen Daten/Datenträgern vornehmen
• nie die eigenen privaten/Arbeits Accounts nutzen, sondern einen Test Account erstellen
• Passwort Manager nutzen, nicht den Google Browser Manager
• auf biometrische Verifizierung setzen

Fragen an euch: Wie geht ihr mit der Bedrohung durch Malware auf importierten Mini-PCs um? Habt ihr schon einmal ähnliche Erfahrungen gemacht?