{"id":251715,"date":"2021-04-03T00:59:55","date_gmt":"2021-04-02T22:59:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251715"},"modified":"2022-12-07T14:50:14","modified_gmt":"2022-12-07T13:50:14","slug":"gigaset-gehackt-android-update-server-liefern-wohl-malware-aus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/03\/gigaset-gehackt-android-update-server-liefern-wohl-malware-aus\/","title":{"rendered":"Gigaset Android-Update-Server liefern vermutlich Malware aus"},"content":{"rendered":"

[English<\/a>]Beunruhigende Nachrichten, die mir gerade von einem Blog-Leser zugegangen sind. Der deutsche Smartphone-Hersteller Gigaset scheint von einem Hack betroffen zu sein. Es k\u00f6nnte auch noch an einem SIM-Diensteanbieter liegen. Aber mindestens einer der Android-Update-Server soll Malware ausliefern. Hier die Informationen, die ich bis jetzt habe.<\/p>\n

<\/p>\n

Ein erster Leserhinweis\"\"<\/h2>\n

Blog-Leser Volko hat mir am Karfreitag, den 3.4., eine Mail mit den entsprechenden Informationen geschickt (danke daf\u00fcr) – habe diese wegen \"Oster-Lockdown\" aber erst sp\u00e4ter abgerufen. Volko schreibt:<\/p>\n

Hallo Herr Born,<\/p>\n

p\u00fcnktlich zum langen Osterwochenende ist die Firma Gigaset offenbar von einem Sicherheits-Super-GAU betroffen: Mindestens einer der Update-Server f\u00fcr Android Smartphones wurde offensichtlich kompromittiert und liefert seit einigen Tagen Malware aus, welche \u00fcber die im Hintergrund als Systemprozess laufende Update-App auf verschiedenen Gigaset Smartphones automatisch installiert wird.<\/p>\n

Wir haben bei uns in der Familie vier Gigaset GS180 in Betrieb (2x D2-Netz + 2x E-Netz), von denen seltsamerweise nur die beiden Smartphones mit E-Netz Simkarte betroffen waren.<\/p>\n

Die Schadsoftware machte sich auf beiden Smartphones gleicherma\u00dfen bemerkbar, indem sich urpl\u00f6tzlich Browserfenster mit Werbung f\u00fcr irgendwelche (Gl\u00fccks-?)Spieleseiten \u00f6ffneten.<\/p>\n

Selbstverst\u00e4ndlich ist auf den Smartphones die Installation aus unbekannten Quellen deaktiviert und aus Sicherheitsgr\u00fcnden sind sowohl
\nDrittanbieterdienste, Sonderrufnummern und Auslandstelefonie seitens des Telefonanbieters gesperrt. Das Schadpotential ist in diesem Fall also
\nbegrenzt, zumal zum Gl\u00fcck nur die Mobiltelefone meiner Kinder betroffen waren auf denen im Gegensatz zu meinem und dem Smartphone meiner Frau noch keine der – mittlerweile unvermeidbaren – Banking-Apps installiert sind.<\/p>\n

Auf den beiden betroffenen Smartphones wurden jeweils drei Malware Apps installiert, welche sich zum Gl\u00fcck problemlos beenden und deinstallieren lie\u00dfen, von der im Hintergrund als Systemprozess laufenden Update-App dann aber immer wieder neu geladen wurden sofern die Update-App nicht manuell nach jedem Neustart zwangsweise beendet wurde: easenf oder gem, sowie in beiden F\u00e4llen smart und xiaoan.<\/p>\n

Ich habe die Problematik gestern telefonisch dem Gigaset Kundenservice gemeldet und man versprach mir sich darum zu k\u00fcmmern und mir eine
\nR\u00fcckmeldung zu geben, was aber aufgrund der Osterfeiertage fr\u00fchestens am Dienstag n\u00e4chster Woche geschehen werde.<\/p><\/blockquote>\n

Ich habe hier ein Gigaset GS 180 – allerdings ohne SIM-Karte – als Testexemplar herumfliegen. Dort konnte ich bei einem Test keine dieser Apps finden.<\/p>\n

Diskussion im Google Support-Forum<\/h2>\n

Volko hat mir dann diesen Link auf das Google-Support-Forum<\/a> geschickt, wo das Problem seit Anfang der Woche diskutiert wird:<\/p>\n

Easenf app ist immer wieder auf mein Handy. Ich l\u00f6sche sie immer wieder, es ist Malware oder?<\/p>\n

Die easenf APP ist wieder auf mein Handy obwohl ich sie immer wieder l\u00f6sche. Habe gelesen das es mit Malware zutun hat.<\/p><\/blockquote>\n

Im betreffenden Thread haben sich mehrere Nutzer gemeldet, die alle Gigaset-Ger\u00e4te besitzen und diese App gefunden haben. Ein weiterer Nutzer schreibt:<\/p>\n

Ich kann das Verhalten bei einem Gigaset GS180 best\u00e4tigen. Zus\u00e4tzlich wurden heute folgende Apps installiert:<\/p>\n

– com.wagd.smarter<\/p>\n

– com.wagd.xiaoan<\/p>\n

Habe diese Apps deinstalliert.<\/p>\n

Zus\u00e4tzlich hatte ich in mehreren Browsern (Firefox Klar, Opera, Firefox, Brave…) als Startseite eine Werbeseite zu irgendeinem Spiel. Musste alle Caches\/ Daten von den Browsern l\u00f6schen – so weit ok.<\/p>\n

Ich kann mich meinem Vorg\u00e4nger anschlie\u00dfen, die Systemapp update.apk<\/em> l\u00e4uft. Warum die \u00dcberhaupt l\u00e4uft, ist mir nicht klar, da ich automatische Updates in den Entwickleroption ausgeschaltet habe.<\/p>\n

Da mein Handy gerootet ist, habe ich die Systemapp update.apk deinstalliert.<\/p><\/blockquote>\n

Ein Benutzer hat die .apk-Dateien zu Virustotal hochgeladen (siehe hier<\/a>). Bei Virustotal werden die installierten Apps als Adware.AndroidOS.BrowserAd.A!c<\/em> oder \u00e4hnlich gelistet. Nachfolgender Screenshot zeigt die Auswertung f\u00fcr eine dieser Apps.<\/p>\n

\"Adware-App<\/a>
\nAdware-App auf Virustotal, Zum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Eine weitere Betroffene<\/h2>\n

Ich hatte auf Facebook einen kurzen Verweis auf den Blog-Beitrag in einer Android-Gruppe eingestellt, bin da aber wegen Kindergartendiskussion wieder raus. Allerdings hat sich eine Betroffene gemeldet, die seit einigen Tagen genau dieses Problem auf dem Gigaset-Smartphone eines Kindes hat. Ich verlinke nicht auf Facebook – was ich zusammenfassen kann:<\/p>\n