BadBox und die harte Wahrheit über das Ersetzen von Geräten

BadBox zeigt uns, dass einige Geräte kompromittiert sind, bevor man sie überhaupt einschaltet. Das sind die Auswirkungen für den Geräteaustausch.
Von PowerOn |
Tags:

Du wirfst ein zwielichtiges altes Tablet weg, kaufst ein glänzendes „neues“ Android-Handy und atmest erleichtert auf. Problem gelöst.

Doch ganz so einfach ist es nicht.

Treffen Sie BadBox – der freundliche Codename für eine weitverzweigte Cyber-Spionageoperation, die Malware direkt in Android-Geräte einbaut, bevor sie die Fabrik verlassen. Dabei handelt es sich nicht um dubiose Marktstand-Schnäppchen. Viele werden über vertrauenswürdige Online-Händler und große Plattformen verkauft. Tausende haben bereits Europa erreicht, meist als „Budget“-Tablets, Handys oder Streaming-Boxen.

Warum BadBox für den Geräteaustausch relevant ist

Die Malware, höflich als Guerrilla bezeichnet, sitzt tief in der Firmware – unterhalb der Ebene, die die meisten Nutzer (oder Antivirensoftware) überhaupt einsehen können. Sie kann stillschweigend Apps installieren, Nutzer ausspionieren, gezieltes Phishing betreiben oder Ihr Gerät ganz an Dritte vermieten. Sie ist modular, sodass jederzeit weitere Funktionen hinzugefügt werden können.

BadBox ist kein einzelnes Schadprogramm, sondern ein ganzes kriminelles Ökosystem. Es wird von mehreren vernetzten Gruppen betrieben – darunter SalesTracker, MoYu, Lemon und LongTV –, die sich die Arbeit aufteilen. Einige betreiben die Command-and-Control-Infrastruktur, andere entwickeln die Firmware-Hintertür selbst, während wiederum andere infizierte Geräte durch Ad-Betrug, Residential-Proxy-Netzwerke und automatisierte Betrugsmaschen monetarisieren. Was sie eint: Die Malware ist bereits vor dem Erreichen des Nutzers eingebaut, was bedeutet, dass die Kompromittierung beginnt, sobald man die Verpackung öffnet.

Bisher war Geld der Hauptantrieb, nicht Überwachung als Dienstleistung. Die meisten BadBox-Infektionen werden für Klickbetrug, gefälschte Werbeeinblendungen und den Verkauf anonymen Netzwerkverkehrs an andere Akteure genutzt. Doch die Architektur ist modular, und die beteiligten Gruppen haben die Gewohnheit, ihre Fähigkeiten zu vermieten oder zu verkaufen. Mit anderen Worten: Wenn jemand diese Plattform für Stalking, gezielte Spionage oder Datendiebstahl nutzen wollte, könnte er das – ohne das Rad neu erfinden zu müssen.

Deshalb ist BadBox für den Geräteaustausch relevant. Es geht nicht darum, dass diese Gruppen derzeit keine direkten Stalkerware-Angriffe durchführen, sondern dass die Infrastruktur und Techniken bereits existieren – und der falsche Käufer sie über Nacht weaponisieren könnte. Wenn Ihr neues Handy, Tablet oder TV-Box bereits als Bot, Beacon oder Datensiphon agiert, bevor Sie sich überhaupt einloggen, bedeutet „neu“ nicht automatisch „sicher“.

Ein Werksreset hilft nicht. Antivirensoftware hilft nicht. Und auch Ausschalten und Wiederanschalten vertreibt die Geister nicht.

Was das für Betroffene bedeutet

Für Überlebende von Partnerschaftsgewalt ändert dies die Sicherheitsstrategie. Bei PowerOn sagen wir: Im Zweifel das Gerät ersetzen. Das gilt nach wie vor, aber mit einer Warnung: Wenn das Ersatzgerät aus einer nicht vertrauenswürdigen Quelle stammt, könnte es schlimmer sein als das Original.

BadBox widerlegt bisherige Annahmen:

  • Eine versiegelte Verpackung ist kein Sicherheitsbeweis
  • Ein niedriger Preis ist keine Freigabe zum Teilen
  • Ein heute normal funktionierendes Gerät könnte Sie morgen verraten

Ein mit BadBox infiziertes Gerät kann wochen- oder monatelang unauffällig bleiben, bevor es aktiv wird, Updates lädt oder für jemanden arbeitet, der wirklich an Ihre Daten will.

Ja, es gibt sie schon für 20 Euro. Ja, das ist verlockend. Aber Privatsphäre und Selbstbestimmung sind mehr wert.

Praktische Schritte für Betroffene

  • Nutzen Sie Geräte aus vertrauenswürdigen, überprüfbaren Quellen
  • Wählen Sie nach Möglichkeit Modelle, die als sauber bekannt sind (siehe Tabelle unten)
  • Vermeiden Sie das Einloggen in sensible Konten auf unbekannten oder geschenkten Geräten
  • Trennen Sie Hochrisiko- und Niedrigrisiko-Aktivitäten auf verschiedenen Geräten, falls möglich

Maßnahmen für Schutzunterkünfte

Schutzunterkünfte stehen vor zwei Herausforderungen: verhindern, dass kompromittierte Geräte in den Umkreis gelangen, und solche erkennen, die doch durchschlüpfen.

Prävention

  • Dokumentieren Sie die Herkunft gespendeter oder gekaufter Geräte und prüfen Sie Firmware-Versionen
  • Für Gemeinschaftsnutzung: Bevorzugen Sie Linux-Laptops oder refurbished Chromebooks mit Linux statt Billig-Android-Geräten
  • Richten Sie eine sichere Onboarding-Station ein, um Geräte vor der Nutzung zu überprüfen

BadBox-Aufnahmeprotokoll

Zweck: Sicherstellen, dass alle eingehenden Android-Geräte auf BadBox-Risiken geprüft werden.

1. Basisdaten erfassen

  • Gerätetyp (Handy, Tablet, TV-Box, Projektor, Auto-Einheit, Sonstiges)
  • Marke und Modellnummer
  • Seriennummer / IMEI
  • Herkunft (Spende, Kauf, Sonstiges)
  • Erhaltungsdatum

2. Sichtprüfung der Verpackung

  • Originalverpackung? Ja / Nein
  • Anzeichen von Manipulation? Ja / Nein
  • Ungewöhnliche oder generische Markierung? Ja / Nein

3. Risikokategorie

  • Als sauber bekanntes Modell? (Prüfen Sie interne Liste) Ja / Nein
  • Als riskant/No-Name-Modell bekannt? Ja / Nein
  • Unbekannt? (Als hohes Risiko behandeln)

4. Firmware- und Play-Protect-Prüfung

  • Gerät einschalten, Kontoeinrichtung überspringen
  • Play-Protect-Zertifizierung prüfen (Einstellungen → Über → Google Play-Systemupdate oder Play Store → Einstellungen)
  • Firmware-Version notieren
  • Mit sicherer Liste abgleichen

5. Netzwerkverhalten testen

  • Mit isoliertem Onboarding-WLAN verbinden (nicht Produktionsnetzwerk)
  • 15–30 Minuten mit PiRogue, Zeek oder Suricata überwachen
  • Ungewöhnliche ausgehende Verbindungen oder DNS-Abfragen prüfen

6. Entscheidung

  • Bestanden → Inventarisieren mit Sicherheitskennzeichnung
  • Durchgefallen → Quarantäne oder fachgerechtes Recycling
  • Unklar → Offline halten, an Technik weiterleiten

(Für jedes Gerät unterschriebene Kopien behalten. Ergebnisse im Geräteprotokoll speichern.)

Erkennung

BadBox lässt sich teilweise erkennen, aber nicht auf Firmware-Ebene – und nur, wenn es bereits im Netzwerk oder Betriebssystem aktiv ist.

Mit einem SIEM-Stack (Wazuh + Zeek + Suricata + Sysmon + optional PiRogue) ist die Erkennung möglich durch:

  • Netzwerk-Indikatoren wie Verbindungen zu Command-and-Control-Servern, fragwürdige Domains oder Malware-Verteilungsstellen
  • Suricata-Alarme für bekannte BadBox-Infrastruktur
  • Zeek-Logs mit wiederkehrenden Beaconing-Mustern oder verdächtigen DNS-Anfragen

Hinweis: Die Command-and-Control-Infrastruktur ändert sich häufig. Die Erkennung hängt von aktuellen Threat-Intelligence-Feeds ab.

Wann und wie ersetzen?

Ersetzen Sie ein Gerät, wenn:

  • Es eindeutig kompromittiert ist
  • Stalkerware nicht entfernt werden kann
  • Die Nutzer*in sich nicht mehr sicher fühlt
  • Die weitere Nutzung rechtliche Risiken birgt

Ein Austausch ist nur sicher, wenn das Ersatzgerät vertrauenswürdig ist.

Beziehen Sie Geräte über:

  • Bekannte Händler mit guter Rückgabepolitik
  • Zertifizierte Refurbisher, die Firmware-Level-Resets durchführen
  • Organisationen, die datenschutzfreundliche Betriebssysteme vorinstallieren

Oder, falls budgetär möglich: Wählen Sie neue Handys großer Marken mit gesperrtem Bootloader und keinen bekannten BadBox-Fällen.

GerätetypBadBox-RisikoHinweise
Pixel-Handys (Play-Protect-zertifiziert)✅ NiedrigKeine bekannten BadBox-Fälle in Studien
Flaggschiff-Android-Handys (Samsung, OnePlus etc.)✅ Niedrig bis mittelNur Play-Protect-zertifizierte Modelle
No-Name-Android-Handys oder „refurbished“-Generika❌ HochViele bestätigte Infektionen
Android-TV-Boxen, Tablets, Projektoren, Auto-Einheiten❌ Sehr hochMehrere Modelle auf Firmware-Ebene kompromittiert
iPhones / Apple-Geräte✅ Nicht zutreffendAnderes Ökosystem

Abschließende Gedanken

BadBox ist nicht nur ein Lieferkettenproblem. Es erinnert uns daran, dass Verpackungen nicht vertrauenswürdig genug sind. Angreifer denken voraus – das müssen wir auch.

Ein Geräteaustausch bleibt ein wichtiger Schritt, um die Kontrolle zurückzugewinnen. Nun wissen wir nur: Manche Kartons kommen bereits verloren an.