![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Aktuell berichten ja Besitzer von Gigaset Android-Smartphones davon, dass automatisch Android-Apps mit Malware installiert wird, die dann Werbeumleitungen vornimmt oder zur WhatsApp-Sperre f\u00fchrt. Ich habe das BSI informiert und versuche im Beitrag hier einige aktuelle Informationen zusammen zu fassen.<\/p>\n
<\/p>\n
Am Karfreitag-Abend (2.4.2021) ging mir eine Mail eines Blog-Lesers zu, der als Besitzer mehrerer Gigaset Android-Smartphones auf einen Malware-Befall eines Teils seiner Ger\u00e4t gesto\u00dfen ist. Auf den Smartphones werden SIM-Karten von E-Plus (O2-Umfeld) verwendet. Aufgefallen ist dort, dass Apps pl\u00f6tzlich auf Gl\u00fccksspielseiten umleiten. Eine Analyse ergab, dass dort Fremd-Apps installiert worden waren:<\/p>\n
Zudem wird gelegentlich eine Tayase-App gemeldet. \u00dcberpr\u00fcfen kann man dies, indem man die Einstellungen<\/em>-App aufruft, auf Apps & Benachrichtigungen <\/em>tippt und dann den Men\u00fcpunkt App-Info <\/em>w\u00e4hlt. Dann sollten alle installierten Apps aufgelistet werden. Tippt man auf das Drei-P\u00fcnktchen-Men\u00fc und w\u00e4hlt Systemprozesse anzeigen<\/em>, werden die Prozesse aufgelistet.<\/p>\n Obiger Screenshot zeigt die letzten Prozesse meines Gigaset GS 180-Testger\u00e4ts, welches keine Malware aufweist. Die letzte App in obiger Liste mit den chinesischen Schriftzeichen scheint standardm\u00e4\u00dfig auf den Ger\u00e4ten zu sein – ist also kein Anzeichen f\u00fcr eine Kompromittierung. Der Fall ist im Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a> ausf\u00fchrlicher besprochen.<\/p>\n In den Kommentaren zum Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a> wird von vielen Betroffenen ausgef\u00fchrt, dass das WhatsApp-Konto gesperrt wurde (kann ich nicht testen, ich habe WhatsApp 2018 aus DSGVO-\/Datenschutzgr\u00fcnden gekickt). Es liegt der Verdacht nahe, dass die Malware per WhatsApp kommt. Dagegen spricht:<\/p>\n Zudem muss ich davon ausgehen, dass bei einem WhatsApp-Sch\u00e4dling Meldungen von Betroffenen anderer Ger\u00e4tetypen auftauchen – es gibt im Internet aber nichts diesbez\u00fcglich.<\/p>\n Eine Vermutung w\u00e4re, dass es eventuell am Anbieter der SIM-Karte liegen k\u00f6nnte, so dass \u00fcber diese Schiene die Malware-Apps ins System kommen. Hier wurde h\u00e4ufig E-Plus\/O2 in den Kommentaren zum Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a> genannt. Aber auch an dieser Stelle muss ich den Kommentare von Barbara<\/a> zitieren, die Vodafone als Mobilfunkanbieter verwendet. Zudem h\u00e4tte ich auch andere Ger\u00e4tebesitzer von anderen Herstellern, aber mit dem gleichen Mobilfunkanbieter vermutet.<\/p>\n SMS mit Schad-Link ist imho auch eher unzutreffend, da dann andere Hersteller betroffen w\u00e4ren.<\/p><\/blockquote>\n Blog-Leser Volko (und ein weiterer Betroffener) hat in seiner Analyse die update.apk <\/em>in der Firmware der Gigaset-Ger\u00e4te als verursachenden Prozess, der die Malware-Apps installiert, ausgemacht (siehe Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a>):<\/p>\n Mindestens einer der Update-Server f\u00fcr Android Smartphones wurde offensichtlich kompromittiert und liefert seit einigen Tagen Malware aus, welche \u00fcber die im Hintergrund als Systemprozess laufende Update-App auf verschiedenen Gigaset Smartphones automatisch installiert wird.<\/p><\/blockquote>\n und<\/p>\n Ich kann mich meinem Vorg\u00e4nger anschlie\u00dfen, die Systemapp update.apk<\/em> l\u00e4uft. Warum die \u00dcberhaupt l\u00e4uft, ist mir nicht klar, da ich automatische Updates in den Entwickleroption ausgeschaltet habe.<\/p>\n Da mein Handy gerootet ist, habe ich die Systemapp update.apk deinstalliert.<\/p><\/blockquote>\n Im englischsprachigen Blog-Beitrag<\/a> haben sich noch Leser mit Meldungen zu anderen No-Name-Androiden wie vkworld T2 Plus, Fly Nimbus 16 oder Vivax gemeldet. F\u00fcr mich ist dies ein starkes Indiz, dass es mit der Kombination Firmware\/Update und einem kompromittierten Server (Supply-Chain-Attack) zusammenh\u00e4ngen d\u00fcrfte.<\/p>\n Ich habe den Support und die Presseabteilung von Gigaset in der Nacht von Freitag auf Samstag per Mail auf den Sachverhalt und den Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a>) aufmerksam gemacht. Am 3.4.2021 wurde um 1:11 Uhr das Ticket 220221 \/ Malwarebefall der Gigaset Android-Server er\u00f6ffnet. Am 3.4.2021 kam um 16:45 Uhr die Meldung vom Support:<\/p>\n Sehr geehrter Herr Born,<\/p>\n \u200bherzlichen Dank f\u00fcr Ihre Anfrage.<\/p>\n \u200bIhr Anliegen wurde an entsprechende Stelle zur weiteren Bearbeitung weitergegeben. Wir bitten Sie um noch etwas Geduld bis eine Antwort zur Verf\u00fcgung steht.<\/p>\n Wir w\u00fcnschen Ihnen noch ein sch\u00f6nes Osterfest!<\/p>\n Mit freundlichen Gr\u00fc\u00dfen Ich habe die Nacht zum 4.4.2021 (irgendwo um 1:00 Uhr) auf Twitter folgenden Tweet<\/a> an Gigaset und das BSI abgesetzt, weil keine Reaktion kam.<\/p>\n Immerhin hat sich der Pr\u00e4sident des BSI, Herr Arne Sch\u00f6nbohm nach wenigen Stunden mit folgender Antwort<\/a> gemeldet:<\/p>\n Da geht der Daumen von mir in Bezug auf das BSI hoch – mal schauen, ob und wann bei Gigaset jemand nun reagiert. Ein Trauerspiel.<\/p>\n Achtung:<\/strong> Ich empfehle allen Gigaset Android-Ger\u00e4tebesitzern die Hinweise im Blog-Beitrag <\/span>Malwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a> zu beherzigen und das Ger\u00e4t tot zu legen. Zumindest solange, bis Gigaset reagiert hat und der Vorgang allumfassend gekl\u00e4rt ist.<\/span><\/p><\/blockquote>\n Erg\u00e4nzung: <\/strong>Von Gigaset ist mir eine erste Einsch\u00e4tzung der Ursache zugegangen – ich habe die vorl\u00e4ufigen Informationen im Blog-Beitrag\u00a0Update zum Malware-Befall bei Gigaset Android-Ger\u00e4ten (6.4.2021)<\/a> ver\u00f6ffentlicht.<\/p>\n Erg\u00e4nzung 1:<\/strong> Ich habe jetzt eine erste vorl\u00e4ufige Zusammenfassung einer technischen Analyse der Sicherheitsforscher von Malwarebytes im Blog-Beitrag\u00a0Vorl\u00e4ufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware<\/a> ver\u00f6ffentlicht.<\/p>\n Erg\u00e4nzung 2:<\/strong> Ein ausf\u00fchrlicher Blog-Beitrag zu den Informationen, die im Artikel Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Ger\u00e4te (8.4.2021)<\/a> bereitgestellt wurden samt meiner Einsch\u00e4tzung folgt.<\/p>\n Erg\u00e4nzung 3:<\/strong> Die Hinweise im Beitrag Gigaset-Malwarebefall und das WhatsApp\/SIM-Problem<\/a> zum Wechsel der SIM-Karte erweisen sich wohl als nicht g\u00e4nzlich unn\u00f6tig, wie sich im Beitrag Nachtrag zum Malwarebefall bei Gigaset Android-Smartphones<\/a>\u00a0vom Juli 2021 nachlesen l\u00e4sst.<\/p>\n Artikelreihe\u00a0<\/strong><\/p>\n Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a> Malwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a>\u00a0\u2013 Teil 1 Aktuell berichten ja Besitzer von Gigaset Android-Smartphones davon, dass automatisch Android-Apps mit Malware installiert wird, die dann Werbeumleitungen vornimmt oder zur WhatsApp-Sperre f\u00fchrt. Ich habe das BSI informiert und versuche im Beitrag hier einige aktuelle Informationen zusammen zu fassen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426,1376],"tags":[4308,1018,4328,4345],"class_list":["post-251747","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","category-smartphone","tag-android","tag-malware","tag-sicherheit","tag-smartphone"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251747","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=251747"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251747\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=251747"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=251747"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=251747"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Installierte](\"https:\/\/i.imgur.com\/lSvx9jr.png\" "\\"Installierte")
<\/p>\nKann WhatsApp die Malware ausliefern?<\/h2>\n
\n
Kann es an der SIM-Karte liegen?<\/h2>\n
Es deutet auf die Gigaset Firmware-Updater hin<\/h2>\n
Was sagt Gigaset?<\/h2>\n
\nAleksandra Milosavljevic
\nIhr Gigaset Team
\nE-Mail: support@gigaset.com
\nWebsite: www.gigaset.com\/service<\/a><\/p><\/blockquote>\n![\"Gigaset](\"https:\/\/i.imgur.com\/RrGY0MV.png\" "\\"Gigaset")
<\/a><\/p>\n![\"Gigaset](\"https:\/\/i.imgur.com\/d7igall.png\" "\\"Gigaset")
<\/a><\/p>\n
\nNeues zum Gigaset Android-Smartphone Malware-Befall (April 2021)<\/a>
\nMalwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a>
\nUpdate zum Malware-Befall bei Gigaset Android-Ger\u00e4ten (6.4.2021)<\/a>
\nVorl\u00e4ufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware<\/a>
\nKurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Ger\u00e4te (8.4.2021)<\/a><\/p>\n
\nMalwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a>\u00a0\u2013 Teil 2
\nGigaset: H\u00fcrden beim Bereinigen des Malwarebefalls (12. April 2021)<\/a>
\nGigaset-Malwarebefall und das WhatsApp\/SIM-Problem<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"