Android: Malware überlebt Factory Reset
18.11.2025 - 23:14:12IT-Forscher enthüllen persistente Schadsoftware in Uhale-Geräten, die sich bei jedem Hochfahren automatisch neuinstalliert. Betroffen sind standardmäßig gerootete Systeme mit deaktivierten Sicherheitsfunktionen.
Digitale Bilderrahmen infizieren sich bei jedem Neustart selbst mit Schadsoftware. IT-Sicherheitsforscher von Quokka schlagen Alarm: Bei Geräten der Marke Uhale lädt eine vorinstallierte System-App automatisch Malware von chinesischen Servern – und das bei jedem Hochfahren. Ein Zurücksetzen auf Werkseinstellungen? Nutzlos.
Die Bedrohung sitzt tief im System, verankert in der Firmware selbst. Für Millionen Nutzer wird das zum Problem, denn diese Art der Kompromittierung lässt sich ohne Spezialwerkzeuge nicht entfernen. Was hier bei Bilderrahmen auffällt, ist symptomatisch für eine wachsende Bedrohung: Angriffe auf die gesamte Lieferkette.
Wie Malware schon ab Werk installiert wird
Cyberkriminelle infiltrieren den Herstellungsprozess, lange bevor das Gerät beim Kunden ankommt. Schadsoftware wird direkt in die Firmware oder System-Apps integriert – besonders bei günstigen Android-Smartphones, Tablets und Smart-Geräten.
Bekannte Malware-Familien wie Triada und Dwphon nutzen diese Methode bereits seit Jahren. Bei den aktuell untersuchten Uhale-Geräten entdeckten die Forscher:
- Standardmäßig gerootete Systeme
- Deaktiviertes Sicherheitsmodul SELinux
- Weitreichende Systemrechte für die Malware
Passend zum Thema Android-Sicherheit: Angesichts eines dokumentierten Anstiegs um 29 % (bzw. bis zu 151 % bei manchen Bedrohungen) sollten Android-Nutzer jetzt handeln. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android-Smartphones – mit klaren Schritt-für-Schritt-Anleitungen (Prüfung vorinstallierter Apps, richtige Berechtigungen, Update-Checks). Ideal, um Geräte gegen vorinstallierte Malware und persistente Schädlinge besser abzusichern. Gratis-Sicherheitspaket für Android jetzt anfordern
Dauerhaft kompromittiert: Die Malware kehrt immer zurück
Das gefährlichste Merkmal dieser Schädlinge? Ihre Persistenz. Der Code sitzt in der Systempartition oder der Firmware selbst. Jedes Mal, wenn das Gerät startet, prüft eine System-App ihre Version und lädt bei Bedarf ein “Update” – das den eigentlichen Schädling enthält.
Selbst ein Antivirenprogramm hilft nur kurzfristig. Erkennt es die Malware und entfernt sie, wird sie beim nächsten Neustart einfach neu installiert. Experten sprechen von “unremovable” – nicht entfernbar ohne tiefgreifende technische Kenntnisse. Für normale Nutzer bedeutet das: Das Gerät bleibt dauerhaft unter Kontrolle der Angreifer.
Alarmierende Zahlen: Angriffe steigen dramatisch
Die Bedrohungslage verschärft sich rasant. Kaspersky dokumentiert 29 % mehr Attacken auf Android-Nutzer in der ersten Jahreshälfte 2025 gegenüber dem Vorjahreszeitraum. Malwarebytes meldet sogar einen Anstieg von 151 % bei Android-Schadsoftware.
Die bei Uhale entdeckte Malware steht vermutlich in Verbindung mit den Schädlingsfamilien Mezmess und Voi1d. Das Problem: Viele kompromittierte Geräte werden unter verschiedenen Markennamen verkauft. Allein die Uhale-App verzeichnet über 500.000 Downloads im Google Play Store.
Besonders brisant: Trotz wiederholter Warnungen seit Mai 2025 hat das verantwortliche Unternehmen ZEASN (heute ‘Whale TV’) laut den Forschern nicht reagiert.
Warum Android besonders gefährdet ist
Die Fragmentierung des Android-Ökosystems macht die Plattform verwundbar. Google kontrolliert zwar den Play Store mit Play Protect und strengen Richtlinien, hat aber kaum Einfluss auf Software, die Dritthersteller vorinstallieren.
Im Niedrigpreissegment verschärft sich das Problem. Hersteller stehen unter enormem Kostendruck und beziehen Firmware oft von unsicheren Drittanbietern. Viele dieser Geräte sind nicht “Play Protect-zertifiziert” – sie durchlaufen also nicht Googles Sicherheits- und Kompatibilitätstests.
Kann der Nutzer überhaupt noch sicher sein, was auf seinem neuen Gerät läuft?
So schützen Sie sich vor vorinstallierter Malware
Google reagiert: Für 2026 plant das Unternehmen ein neues Entwickler-Verifizierungsprogramm, das die Nachverfolgbarkeit von App-Entwicklern verbessern soll. Android 16 bringt erweiterte Sicherheitsfunktionen wie verbesserten Diebstahlschutz und intelligente Betrugserkennung.
Bis dahin sollten Verbraucher selbst aktiv werden:
- Kaufen Sie nur von renommierten Herstellern mit offizieller Android-Version
- Prüfen Sie beim ersten Start die Liste vorinstallierter Apps
- Hinterfragen Sie Berechtigungen unbekannter Anwendungen kritisch
- Installieren Sie mobile Antiviren-Software von vertrauenswürdigen Anbietern
- Achten Sie auf regelmäßige Sicherheitsupdates des Herstellers
Ein gesundes Misstrauen ist derzeit der wirksamste Schutz. Denn im aktuellen Klima gilt: Was zu günstig klingt, könnte teuer werden – mit den eigenen Daten.
PS: Viele dieser Schädlinge sitzen bereits tief in der Firmware und installieren sich bei jedem Neustart neu. Der kostenlose Android-Schutz-Guide zeigt, welche Einstellungen Sie sofort ändern sollten, welche vorinstallierten Apps besonders kritisch sind und wie Sie automatische Updates sowie Play Protect effektiv nutzen – oft ganz ohne zusätzliche kostenpflichtige Tools. Praktische Checkliste inklusive, damit Sie Ihr Gerät dauerhaft schützen können. Jetzt Android-Schutz-Guide gratis anfordern
