Wie steht es eigentlich um das Thema Malware-Befall durch eine Supply-Chain-Attacke bei den Gigaset Android-Smartphones, die uns vor Ostern ereilte? Ein Blog-Leser hat mir im Nachgang zum Lieferkettenangriff auf Gigaset Android-Smartphones noch einige Informationen zukommen lassen. Die Säuberung klappte nicht wirklich, und der Leser hat einen "Honeypot" betrieben, um zu sehen, ob und welche Malware nachgeladen wird. Ich stelle seine Beobachtungen hier im Blog ein – vielleicht kann ein Betroffener noch was damit anfangen.
Anzeige
Lieferkettenangriff auf Gigaset-Smartphones
Vor Ostern 2021 ereignete sich ein Lieferkettenangriff (Supply-Chain-Attacke) auf die Update-Server, die der deutsche Smartphone-Hersteller Gigaset für seine Android-Smartphones benutzte. Durch den kompromittierten Server in China wurden automatisch Android-Apps mit Malware auf den Gigaset-Geräten installiert. Diese nahm dann Werbeumleitungen vor, wählte teure Premium-Nummern an, buchte kostenpflichtige Optionen und was weiß ich. Zahlreiche Nutzer berichteten auch, dass ihnen WhatsApp gesperrt wurde. Ich hatte ausführlich im Blog in verschiedenen Artikeln berichtet (siehe Links am Artikelende).
Der Hersteller Gigaset veröffentlichte Anleitungen, um die Geräte zu säubern und stellte auch Updates für diesen Zweck bereit. Aber die Säuberung der Geräte klappt nach meinen Beobachtungen nicht wirklich (siehe Neues zum Malwarebefall bei Gigaset Android-Smartphones). Ich hatte frühzeitig die Stillegung infizierter Geräte empfohlen (siehe Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten).
Erfahrungen eines Lesers
Blog-Leser Dieter D. hatte bereits im April 2021 und dann noch im Mai 2021 eine Rückmeldung über seine Erfahrungen per Mail übermittelt. Sein Gerät, welches nicht gesäubert werden konnte, scheint als Brücke für Anrufe aus dem Internet an Mobiltelefone nach Marokko zu dienen. Ich hatte diese im Blog-Beitrag Neues zum Malwarebefall bei Gigaset Android-Smartphones aufgegriffen. Nun hat Dieter mir vor einiger Zeit noch eine zweite Mail geschrieben, in der er weitere Erfahrungen beschrieben hat.
… den Honigtopf betrieb ich noch weiter. Es zeigte sich, dass nach dem Nachladen binnen dreier Tage sich wieder versteckte Telefonate nach außen als Brücke zur Verschleierung einstellten. Diese gingen immer in das Netz Medi Telecom in Marocco oder Tunesien. In diesen Ländern sind die Mobilprovider regional zugeordnet und das gilt auch für die Unterkreise bei den Telefonnummern.
Im Entwicklermodus konnte ich herausfinden, dass mindestens eine der Malware über die UICC-Methode aufgerufen wurde. In einem Beitrag fand ich bereits einen solchen Hinweis, dass dieser nur mit einer neuen Sim-Karte aus dem Teufelskreis ausbrechen konnte.
Das Kürzel UICC steht für Universal Integrated Circuit Card der Trusted Connectivity Allicance. Gegenüber einer SIM ist UICC die Plattform, auf der mehrere Sicherheitsanwendungen ausgeführt werden können. Der UICC-Angriff ermöglicht die Übernahme des Geräts über dessen UICC-SIM-Karte (siehe). Im aktuellen Fall wurde dies wohl für Telefonate genutzt. Anschließend führte Dieter noch folgendes aus:
Anzeige
Unter der Liste, welche Apps anscheinend Funktionen für den Virus beinhalten, wäre noch "Parallel Accounts Clone-Multiple Account Space" (siehe) noch zu ergänzen.
Nachdem Google bei seinem Play Store die Anzeige, welche Apps man unter dem Account schon mal installiert hatte, entfernt hat, kann die List daher nicht mehr entsprechend fortgesetzt werden. Im Hintergrund, also nicht angezeigt, wurden alle paar Tage die Apps ausgetauscht. Daher war der Schadcode auch zu gut getarnt.
Nachdem ich die Bundesnetzagentur angeschrieben hatte, beschwerte sich der Provider, dass er nicht zuerst kontaktiert wurde. Komischerweise wurden die Gespräche gutgeschrieben noch bevor die eingeforderte Begründung beim Provider einging.
Vereinbart wurde eine neue Sim-Karte zuzusenden. Meine bisheriger Zugang wurde am Montag auf Dienstag so gesperrt, dass ich nur noch Anrufe empfangen kann. Die neue Karte erhielt ich am Mittwoch, tätigte meinen Anruf zur Aktivierung, der in wenigen Stunden erfolgen sollte. Bisher ist dies nicht erfolgt. Die neue Karte in einem neuen Smartphone ist nicht freigeben im Netz, die alte ist alles bis auf Empfang von Anrufen und SMS gesperrt.
Emails sind nicht beantwortet worden. Bei Anrufen bei der Hotline wird nur noch nach der Eingabe nach der Telefonnummer gefragt, die Eingabe der Kundennummer (PennyMobil (Congstar)) kommt gar nicht mehr, und nach vier Minuten fliegt man aus der Hotline.
Auf den Vorschlag, man könne über Abhören der Telefonate herausfinden, wer den Service bei den Hackern gebucht haben könnte, wurde bisher nicht eingegangen.
Geräte Mitglied eines Botnetzes
Die nachfolgend skizzierten Ausführungen konnte ich zuerst nicht so richtig einordnen.
Am Freitag in der Früh, der Tintendrucker (Brother Multifunktionsteil) war vorher abgeschaltet und kein Rechner mit Treiber oder Fähigkeiten vorhanden, wollte dieser ein Fax versenden. Bin dabei an das Telefonteil gestoßen und hörte dann noch etwas. Allerdings hat der Drucker keine Verbindung zu einer Telefonleitung. Normalerweise kann parallel zu diesem Betrieb nicht kopiert werden, aber hierbei ging das. Jetzt liegt das Fax vermutlich im Hauptspeicher und lässt sich nicht auslesen.
Beim Kopieren gibt es jetzt verschoben[e Schriften], somit quasi verschmierte Buchstaben, weil dabei die Werte für den Ausgleich des Versatzes beim Doppeldruck verloren gingen. D.h. die Botnetz-Gruppe ist in der Lage herauszufinden welche Drucker im Netz sind und kann einige Modelle direkt im Binary-Bytemodus ansteuern. Der Drucker war bis vor zwei Wochen in einem anderen WLAN-Netzwerk.
Mittlerweile wurde auf einem Raspberry-Pi 4 HostAP und Etherape eingerichtet. Die bestehende Verbindung des alten Smartphones, eine Gigaset 170, zum Botnetz ist dort gut zu sehen. Interessant war dabei festzustellen, dass vor Beginn der UDP-unknown-Pakete Abfragen des NTP-Protokolls versendet werden. Die Zeitangaben werden anscheinend für die Erzeugung des Schlüssels (Paßwort zur Erzeugung des Schlüssels) mit einbezogen. Das erschwert natürlich eine Entschlüsselung, wenn dies nicht nur für die Kommunikation, sondern für die Ransom-Malware auch verwendet würde.
Dieter schreibt abschließend noch, dass das neue Smartphone, ein Gigaset GS4, diese Kommunikationen nicht unterstützt und von den obigen Problemen nicht betroffen sei. Damit wären wir wieder beim von mir vorgeschlagenen Austauschs der SIM-Karte und Stillegung des betroffenen Gigaset-Smartphones.
Dieter hat mir dann auf Nachfrage noch geschrieben, dass durch den Hack auf seinem Smartphone die Geräte Mitglied in einem Botnet wurden (konnte er durch den Honigtopf feststellen). Zweitens wurde der SMS-Verkehr umgeleitet und verzögert. Durch die längere Deaktivierung von ein paar Tagen und nur kurzes Einschalten des WLAN konnte er auch feststellen, dass über die Umleitung auch Accounts angelegt wurden. Zum Beispiel kam vor kurzem eine SMS mit einer PIN von Nike auf dem infizierten Gigaset an.
Beim Drucker handelt es sich um einen alten MFC-795CW, der sich erst seit kurzem wieder im WLAN befindet, nach dem eine Patrone getauscht wurde. Dieter war Zufall zu diesem Zeitpunkt am Gerät und bekam mit, dass ein Fax verschickt werden sollte. Er schreibt, dass der Drucker wohl von infizierten Geräten über das WLAN angesteuert wurde:
a) um etwas zu versenden (In der Historie steht nur "55" als Nummer)
b) Es wurde die Aufzeichnungsfunktion des Anrufbeantworters gestartet.
c) Parallel konnte er aber mit dem Gerät kopieren.
Weiteres Schritte waren nicht mehr möglich, so Dieter, weil das WLAN weggenommen wurde. Der Drucker lässt sich über Terminal ansprechen.
Nmap scan reportNot shown: 995 closed ports
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
80/tcp open http
515/tcp open printer
9100/tcp open jetdirect
Dieter schreibt dazu: Jeder, der einen Raspi mit den Defaultpasswörtern im Netz hatte, dürfte nun noch immer Mitglied im Botnet sein. Aufgefallen sind diese [die Betreiber des Botnet] nur, weil diese anscheinend sich mit der Leistungsfähigkeit der Hardware vertan haben. Diese hatten zu viel Ressourcen an RAM und Prozessorleistung gezogen. Daher kam es immer wieder zu Fehlermeldungen von Abstürzen der Apps und Systemfunktionen.
Ähnliche Artikel:
Gigaset Android-Update-Server liefern vermutlich Malware aus
Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)
Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten
Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021)
Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware
Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)
Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1
Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 2
Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)
Gigaset-Malwarebefall und das WhatsApp/SIM-Problem
Neues zum Malwarebefall bei Gigaset Android-Smartphones
Anzeige
Vielen Dank an Dieter und auch an Günter für die Analyse und das Publizieren!
Ich wollte einen längeren Rant schreiben über Applikationen auf SIM-Chips, aber ich lasse das lieber. Den ganzen Ärger könnte man sich sparen, wenn man da nur etwas nach PUK-Eingabe installieren könnte, oder NUR digital signierte Applikationen.
Egal. Die Hersteller wollten NIE unsere Sicherheit, sie wollen unser Geld. Damit ist jede Debatte darüber sinnlos. Ein toller Artikel und eine tolle Lektion. Dieter hat meinen Respekt, dass er direkt zur BNetzA ist, statt sich von seinem Provider beschwatzen zu lassen.
Das ist krass, weil ich bisher netzwerkdrucker nicht absichere und viele Dienstleister kenne, die das auch nicht machen… Das sollte ich ändern
Die Frage ist "Wie?".
Die Angriffe erfolgen ja von kompromittierten Geräten im Heim-LAN. Ergo dürfte man nur 2-3 Desktops erlauben im gleichen VLAN auf den Drucker zuzugreifen. Alternativ knipst man die Fax-Funktion in der Fritzbox aus, wenn man sie nicht verwendet. Der Angriff ist ja so perfide, da der Schädling schon im LAN sitzt.
Meinem Drucker habe ich in der FritzBox schon lange verboten, nach draußen zu telefonieren (also ins WWW zu gehen), warum sollte er auch… Ebenso wie meinen Fernsehern, die nur im Heimnetz befüttert werden (Kommunikation/Streamen von/nach draußen macht eine andere Kiste). Ist das nicht eine Lösung?
„Sein Gerät, welches nicht gesäubert werden konnte, scheint als Brücke für Anrufe aus dem Internet an Mobiltelefone nach Marokko zu dienen. „
„Im aktuellen Fall wurde dies wohl für Telefonate genutzt."
Fürs Telefonieren muss man so eine Methode auswählen? Telefoniert dann immer nur eine Person oder mehrere gleichzeitig? Falls es immer nur eine Person ist, dann könnte es doch sein, dass es für ganz andere Zwecke genutzt wird. Am Ende bekommt der Simkarteninhaber noch Besuch früh morgens.
Es gibt doch bestimmt Möglichkeiten kostenlos über das Internet zu Telefonieren. Wieso so kompliziert?
„Dieter schreibt abschließend noch, dass das neue Smartphone, ein Gigaset GS4, diese Kommunikationen nicht unterstützt und von den obigen Problemen nicht betroffen sei."
Toll, Gigaset hat wieder Geld bekommen. Erinnert mich an einen VW Kunden der wütend auf VW war wegen der Schummelsoftware. Sein neues Auto war dann ein E-Golf. Läuft.
Hallo Günther,
ich bin gerade über einen Artikel¹ bei Itexperst gestoßen, welcher über eine ziemlich gut gemachte RAT-Trojaner-App berichtet und dachte mir, dass es dich eventuell interessieren könnte.
LG
Lorem Ipsum
1) https://www.itexperst.at/android-benutzer-durch-boesartige-system-update-app-gefaehrdet-13443.html
Das ging m.W. im März 2021 ziemlich breit auf Webseiten herum (ich hatte es allerdings nicht im Blog). Hatte, als das mit Gigaset passierte, direkt an diese Geschichte gedacht. Aber bald war klar, dass es im aktuellen Fall ein Lieferkettenangriff auf deren Update-Server war. Mit deinem Link haben wir den Verweis ja nun im Blog. Danke.
Ich war beim lesen des Artikels wohl etwas unachtsam, denn bei den zwei Links steht eigentlich, dass es von März ist und ich dachte es wäre etwas neues…
Naja ich denkt, dass ich die Seite wieder deabonnieren werde. Alte Nachrichten als „neu" zu verkaufen finde ich nicht so toll.
LG
Lorem Ipsum
P.s. Vielen Dank für den Hinweis.
Ich weiß nicht, ob die das neu eingespült haben, ich sah den Titel, den Anrisstext und das Publikationsdatum – da war mir klar, dass dies die März-Geschichte gewesen sein muss.
Guten Morgen Günter,
leider bin ich am Freitagnachmittag und Wochenende nicht mehr dazugekommen dir zu Antworten.
Ich hatte den Artikel am Morgen gelesen, sprich es kann sein, dass ich noch nicht ganz wach war, aber mir ist im Artikel, bis auf das Datum bei den zwei Links nichts aufgefallen, dass es vom März war, daher würde ich schon sagen, dass es als neu verkauft wurde.
LG
Lorem Ipsum
Nun ist der ganze " Mist" schon fast ein Jahr alt.. leider ist weder hier noch wo anders eine Endlösung zu finden.
Mein betroffenes 280er liegt ohne Strom ( ohne Sim + SD)im Regal..
Da ich ja irgendwie telefonieren muss hab ich die SIM in einem neuen Handy genutzt..und regelmässig alle noch mit Strom versorgten Geräte beobachtet.
war sehr interessant und aufschlussreich!
Dass sich auf dem 280 als letztes ein Zweitprofil eines "User 0" installiert hatte ( die dazugehörige Ditectoty wurde auf dem Mac-Leptop entdeckt (der inzwischen auch stromlos rumliegt)
Gestern hatte ich mit Free-Fixer mal einen Scan auf meinem offline-WIN10 Desktop-PC gestartet.. das Ergebnis (heute) hat mich beeindruckt .. hätte nie gedacht, dass so viele "invalide" exe'n gefunden werden…und auch unsignierte Windows-Anwen-dungen u. Apps (z.B. Microsoft.People 10.3.3472.1000 bei pid=32956, KommunikationsApp 17.9330.20915.0 bei pid=8912 HxCalendarAppImm.exe, dito bei pid=47508 Hx.Tsr.exe, diverse Windows\assembly betr. NativeImsge zu System Drawing, System.Configuration, System.Windows.Forms alles unsigniert! Sogar NIVIDIA ist "invalid"betroffen ..z.B.Port 9990,Tcpv4Upate Cor\NvBackend.exe
Seltsam:port 49675 .pid=10224 jhi_service..Intel Management Engine Components\DAL\jhi_service.exe, signer:lntel Corp.- Embefded Subsystems and IP Blocks Group [valid]
Ebenso: Uncheck Stay-signed-in for Google Login …default\extensions\ ji0-@jetpack.mkbyjnyd0augscw1e6pd2itaizu.xpi.
Vor einigen Tagen fand ein m.E. mutwilliger Crssh sug dem neuen Handy (leider Xiaomi R9) statt: mitten im Telefongespräch..Absturz.. srhr lauter unangenehmer Piep-Ton.. nichtabstellbar, nicht leiser zu stellen.
Abschlirssend fabd ich auf meinem offlin-Win10 Dektop-PC ind der Browserkonsole unter etlichen JS einen Prototyp von Crash-Manager der ab sofort sämtlichen Traffic und alle Schreibanschläge sammeln will >> daher m.E. inszeniert!!!
Mein Fazit: GIGA-Befall mit z.T."schlafender Malware" könnte ein Cresh-Test gewesen sein..Diese während der Produktion im "Ausland" eingebaute "Hintertür" war, da Geräte noch kein "5er-Netz" sondern nur "2" und"3" (wie mein 280) nutzen können unzureichend voreingestellt somit muste wohl wegen unzureichendem "Direktzugriff", wie bei "5" möglich, der "Umweg" über "User 0" gewählt werden im such doese Geräte beinflussen/steuern zu können.
Somit wäre esnur eine Frage der Zeit, wann die "Gelben" in Zusammenwirken mit den "Roten" die Handys in Europa lahmlegen bzw. diese für "Einflüsse" auf Öffentliche Bereiche nutzen könnten/wollen .. Wer weiss, bei der momentanen Lage, wie sich Demokratie-Gegner im eventuellen "Cyber-Krieg" verhalten?
Dann hilft nur:"Handy im See versenken".."im Backofen backen" (falls es dann noch Strom gibt – Vosicht Rxplosionsgefahr) oder Vorrat von Holzkohle haben und ins Freie gehen.
Und GIGA hat dich immer noch nicht gerührt..
Mal sehen. was die sagen , wenn ich meine Garantieansprüche anmelde? Die werde ich beim Verkäufer und bei der Fa. anmelden…2 Jahre sind noch nicht rum.. und den Fehler gab's ja schon bei Auslieferung – inzwischen Gerät nicht mehr sicher zu betreiben… Bin auf Ausrede gespannt!
Meines Wissens nach hat Gigaset nur das geleistet, was in den Blog-Beiträgen thematisiert wurde. Meine 2 GS waren mit meinem bisherhigen Wissen nicht betroffen – die Teile lagen aber in der fraglichen Zeit auch monatelang ausgeschaltet auf meinem Schreibtisch. Aber aktuell scheint nichts modifiziert worden zu sein.
Zu den restlichen Aussagen kann und mag ich nichts drüber sagen, da ich die Details nicht kenne.
Würden Sie jetzt im Allgemeinen vom Kauf eines Gigaset Telefons abraten? Ich habe seit fünf Tagen ein FairPhone 4 und bin außerst unzufrieden damit. Ich nutze meine Geräte in aller Regel um die 6 Jahre. Dabei bin ich neben dem FairPhone auf das Gigaset-GX6 https://www.gigaset.com/de_de/gigaset-gx6/ gestoßen. Wirkt an sich ganz gut, aber mit Ihren Artikeln im Hinterkopf "traue" ich Gigaset nicht mehr so richtig.
Bei mir persönlich ist Gigaset durch – nicht nur wegen das obigen Vorfalls. Ich habe zwei Geräte mit Android 8.1 im Haushalt – eines läuft bei meiner Frau ganz gut. Das zweite Gigaset meiner Tochter hängt sich immer mal wieder auf und kann nicht richtig geladen werden. Ich muss dann den Ausschalter lange drücken, bis das Smartphone abschaltet. Danach wieder einschalten und hoffen, dass es wieder startet. Gigaset ist vom chinesischen Eigner bzgl. der Software abhängig. Ich würde mir kein Gigaset kaufen – muss aber jeder selbst entscheiden.