Augen auf beim Mini-PC Kauf! Malware & Trojaner im Windows System versteckt!

Auf NerdsHeaven.de präsentieren wir dir starke Deals & Angebote im Bereich Technik und Gadgets. Installiere dir jetzt unsere Android oder iOS App, um keine Knaller-Angebote mehr zu verpassen.

PCs, Notebooks und Mini-PCs kann man schon länger recht günstig als Importe via Geekbuying, Banggood und Co. oder auch direkt auf Amazon.de kaufen. Bisher waren diese Geräte auch nicht auffällig, doch aktuell häufen sich die Meldungen und Bestätigungen, dass es ein paar faule Eier unter den Geräten gibt.

Was waren das noch Zeiten als man sich um die Sicherheit seiner eigenen Daten kaum Sorgen machen musste. Über Jahre haben wir Import Notebooks kleinerer, chinesischer Hersteller getestet, damals noch mit Intel Atom Prozessoren. Auch jüngst haben wir immer wieder mal einen Mini-PC unterschiedlichster Hersteller bei uns in der Redaktion zum Testen stehen. 

Bisher schlug der Windows Defender auch nie an, auch nicht bei einer manuellen, vollständigen Überprüfung. Doch auch wir müssen uns erneut sensibilisieren, wenn es um Betriebssysteme und um die Sicherheit der eigenen Daten geht. 

malware

Um welche Geräte & Hersteller geht es?

Aktuell findet man einige Meldungen des Herstellers AceMagic/Ace Magician/NiPoGi & Kamrui, dass in den neueren Geräten 

  • AK1 Plus RGB
  • S1
  • AD08 (12900H)

eine sehr bösartige Schadsoftware in der Windows Installation und Wiederherstellungspartition von Windows mit ausgeliefert wird. 

ACEMAGIC S1 Mini-PC

Was ist passiert & Statement

AceMagic hat auf X/Twitter ebenso wie auf ihrer Webseite ein Statement dazu veröffentlicht und Lösungsvorschläge mit einer sauberen Windows-Installation veröffentlicht, ebenso gibt es einen 60€ Gutschein für den nächsten Kauf in dem Shop.

Ob ich die nun bereitgestellten Windows Daten laden und installieren würde? Vermutlich nicht.

In der offiziellen Meldung ist zu vernehmen, dass es Probleme mit einem früheren Lieferanten von Masseninstallationssystemen gab, der scheinbar ungefragt und ohne Genehmigung andere Software (Schadsoftware) zusätzlich installierte. 

Man ist dem Ganzen jetzt zwar auf die Spur gekommen und hat einen neuen Partner gefunden, dennoch bleiben noch etliche Geräte der ersten Chargen im Umlauf und werden vermutlich fleißig weiter abverkauft. In der neuen Charge ist dieser Trojaner laut Aussage des Herstellers (!) nicht mehr zu finden.

Das Ganze ist allerdings nur ein Tropfen auf den heißen Stein, denn es wird sicherlich Käufer der ersten betroffene Chargen geben, die nichts von ihrem Pech wissen. 

Ebenso werden wir die Geräte sicher auch unter ganz anderen Namen im Internet auf den unterschiedlichsten Seiten finden. Das liegt daran, dass diese und andere technischen Geräte als OEM Ware hergestellt werden und je nach Kunde mit anderen Brands/Namen bedruckt werden. Entsprechen ist die Dunkelziffer welche Systeme betroffen sind, sicherlich wesentlich höher als wenn man nur das AceMagic Portfolio analysieren würde.

Um welchen Virus/Trojaner/Malware handelt es sich?

Auffällig ist zudem, dass auf einigen Systemen bereits der Google Chrome Browser vorinstalliert ist, was definitiv nicht zu einer Standard frischen Windows Installation passt und gehört.

Folgender Schädlinge wurde auf den befallenen Systemen gefunden.

Backdoor:Win32/Bladabindi!ml

bild2

(Screenshot von „The Net Guy Reviews„)

Die Dateien könnten in folgenden Ordner liegen (Je nach System und Gerät)

  • C:\recovery\OEM\osver\endidev.exe
  • C:\Windows\OSVer\ENDEV.exe
  • C:\Windows\OSVer\MyOem.exe

Bei einigen Modellen war die LED Steuerungssoftware betroffen.

  • C:\Windows\oem\CYX_TftTool\LedControl.exe

Was macht dieser Tojaner?

Der Bladabindi Trojaner ist einer der schlimmsten Sorte die es gibt. Er öffnet nicht nur eine Hintertür für Remote Verbindungen, sondern erfasst sämtliche Tastatureingaben, lädt weitere Malware herunter, sammelt alles an Informationen wie den PC Name, Land/Region, Seriennummern, infiziert Wechseldatenträger, und greift sämtliche Zugangsdaten ob nun Bankaccount, Steam Account oder Browser Passwörter ab. Ebenso greift er wohl Crypto Wallets ab und stiehlt CSV Daten und Texte.

Im schlimmsten Fall versucht man euch später mit diesen gestohlenen Daten zu erpressen.

Was kann ich grundsätzlich machen?

  • Offline bleiben, oder nur in einem Gast-Netzwerk mit eingeschränkten Rechten online gehen
  • keine (weiteren) persönlichen Daten eintippen
  • das System per Microsoft Defender und anderen Antivirus Programmen durchsuchen und entfernen lassen
  • per Virustotal.com/gui/home/upload gefundene und betroffene Daten prüfen lassen
  • ein Wiederherstellen der Windows Partition bringt nichts, da der Wiederherstellungsbereich ebenfalls infiziert ist.
  • an einem sauberen PC sämtliche Passwörter und Zugänge die eventuell eingegeben wurden so schnell wie möglich ändern
  • achtet darauf das eure eigenen Daten und Telefonnummern in den Wiederherstellungsdaten angegeben sind

Am Sichersten wäre es aber wohl direkt nach dem Kauf solch eines PCs, sämtliche Partitionen zu löschen und ebenso auf eine eigene Windows-Installation zu setzen. Alternativ lässt sich natürlich auch Linux oder jedes andere, beliebige Betriebssystem nutzen. Das wiederum übersteigt aber die technischen Fähigkeiten einiger Nutzer. Also auch nicht die beste Lösung, zudem muss man eventuell den Kauf eines neuen Windows Keys mit einberechnen muss.

Ein eventuelles Problem könnte aber sein, dass einige der verbauten Hardware-Komponenten nicht über die automatische Windows Treibersuche abgedeckt werden könnten. Als Beispiel gibt es einige WLAN Treiber nur direkt beim Hersteller, als .zip Datei zum Download.

Waren unsere Geräte betroffen?

Glücklicherweise soweit nicht. Im Jahre 2022 hatten wir den Ace Magician AMR 5 (AMD Ryzen 5 5600U, 16/512 GB SSD) vorgestellt. Dort lag ein sauberes Betriebssystem vor. In dem Zuge hab ich die momentan von uns/mir verwendeten Mini PC ebenso geprüft. Darunter sind der T-Bao MN35, der T-Bao MN59  und der T-Bao NM78.

Diese Systeme sind nicht von dem Bladabindi Trojaner betroffen. Beim MN78 fand ich dahingegen aber einen andere, aber eher harmlose zusätzliche Software:

HackTool:Win32/KeyGen.V!MBT

Der Microsoft Defender Antivirus erkennt und entfernte aber diese Bedrohung.

bild1 e1707895522638

„Hacktools können verwendet werden, um Software zu patchen oder zu „knacken“, sodass sie ohne gültige Lizenz oder echten Produktschlüssel ausgeführt werden kann. Seien Sie vorsichtig beim Ausführen von Hacktools, da diese mit Malware oder unerwünschter Software in Verbindung gebracht werden können.“

So ein Zitat von der Microsoft Webseite. 

Warum war dieses Hacktool auf dem PC? Vermutlich um die Windows Lizenz zu manipulieren. Offiziell würde ein legaler Windows 11 Key um die 149€ kosten. Mehr wurde auf dem PC glücklicherweise nicht gefunden, hinterlässt aber dennoch einen faden Beigeschmack.

Auch hier gibt es unterschiedlichste Anbieter mit der markanten Optik, denn auch hier handelt es sich um ein jeweils gebrandetes OEM Produkt, das vermutlich aus einer Produktionsstrecke in China kommt. Egal ob nun T-Bao, Ace Magician oder auch als Docooler Mini-PC auf Amazon zu finden. Somit kann niemand mit genauer Sicherheit genau sagen, welche Geräte noch betroffen sein könnten.

Was lässt sich daraus nun schließen?

Die Cyberkriminalität ist nach wie vor stark präsent und wird in den nächsten Jahren weiter zunehmen. Ebenso ist zu erkennen, dass es unabhängig des Herstellers betroffene oder veränderte Systeme gibt. Wer auf Nummer sicher gehen will, kauft nur noch Hardware von renommierten Herstellern wie beispielsweise HP, Dell, Lenovo, Razer, Samsung, etc.

Wer dennoch zu günstigeren Geräten greifen will, sollte gewisse Sicherheitsvorkehrungen vornehmen:

  • ein gesichertes Gastnetzwerk nutzen
  • die Partitionen nach Schadsoftware durchsuchen lassen
  • 2-Wege Authentifizierungen für sämtliche Logins anlegen
  • alle Partitionen löschen und eine eigene Windows/Linux/etc.-Installation mit sauberen Daten/Datenträgern vornehmen
  • nie die eigenen privaten/Arbeits Accounts nutzen, sondern einen Test Account erstellen
  • Passwort Manager nutzen, nicht den Google Browser Manager
  • auf biometrische Verifizierung setzen

Kommentar schreiben

Optional, wird nicht veröffentlicht.
Bild entfernen Bild zum Kommentar hinzufügen (JPG, PNG)