{"id":251873,"date":"2021-04-06T17:04:22","date_gmt":"2021-04-06T15:04:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=251873"},"modified":"2021-04-13T18:06:47","modified_gmt":"2021-04-13T16:06:47","slug":"update-zum-malware-befall-bei-gigaset-android-gerten-6-4-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/06\/update-zum-malware-befall-bei-gigaset-android-gerten-6-4-2021\/","title":{"rendered":"Update zum Malware-Befall bei Gigaset Android-Ger&auml;ten (6.4.2021)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/04\/07\/update-zum-malware-befall-bei-gigaset-android-gerten-6-4-2021\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]An dieser Stelle ein schnelles Update f\u00fcr alle Betroffenen des Malware-Befalls von Gigaset Android-Ger\u00e4ten. Ich hatte gerade ein telefonisches Gespr\u00e4ch mit Gigaset, wo sich langsam der Nebel lichtet.<\/p>\n<p><!--more--><\/p>\n<h2>Der Malwareangriff auf Gigaset Android-Ger\u00e4te<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/e92261bb939b413ea5d2138f1fdc6295\" alt=\"\" width=\"1\" height=\"1\" \/>Seit ca. Gr\u00fcndonnerstag (1. April 2021) gab es ein massives Problem mit Gigaset Android-Ger\u00e4ten, denn zahlreiche Benutzer melden seit der Karwoche (erste Meldungen, die ich gesehen habe, stammen vom 1. April 2021, weitere Meldungen kamen am 2., 3., 4. April 2021 rein) einen Befall der Ger\u00e4t durch Malware. Es werden automatisch unerw\u00fcnschte Apps installiert, die ihr Eigenleben auf den Smartphones f\u00fchren. Die Folgen sind f\u00fcr die Ger\u00e4tebesitzer gravierend:<\/p>\n<ul>\n<li>Browserfenster \u00f6ffnen sich urpl\u00f6tzlich mit Werbung oder leiten zu Gl\u00fccksspielseiten um<\/li>\n<li>WhatsApp-Konten werden (wegen kritischer Aktivit\u00e4ten) gesperrt<\/li>\n<li>Facebook-Konten werden ggf. komplett \u00fcbernommen<\/li>\n<li>M\u00f6glicherweise werden SMS-Nachrichten automatisch verschickt<\/li>\n<li>Das Ger\u00e4t geht in den \u201eNicht st\u00f6ren\"-Modus<\/li>\n<li>Das Akku wird schnell leergesaugt<\/li>\n<li>Das Smartphone wird langsam<\/li>\n<\/ul>\n<p>Erste Hinweise von betroffenen Benutzern deuten darauf hin, dass auch Daten von den Smartphones abgegriffen worden sein k\u00f6nnten. Ich hatte \u00fcber diesen Sachverhalt ausgiebig im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/03\/gigaset-gehackt-android-update-server-liefern-wohl-malware-aus\/\">Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a> berichtet. Ein erg\u00e4nzender Sachstand findet sich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/04\/neues-zum-gigaset-android-smartphone-malware-befall\/\">Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)<\/a>. Im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/05\/malwareangriff-was-gigaset-android-gertebesitzer-jetzt-machen-sollten\/\">Malwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a> hatte ich die Stilllegung der Ger\u00e4te bis zur Kl\u00e4rung durch den Hersteller empfohlen.<\/p>\n<h2>Zwischenstand nach Angaben des Herstellers<\/h2>\n<p>Am 6.4.2021 hatte ich gegen 16:36 Uhr einen Anruf aus der Qualit\u00e4tssicherung des Herstellers Gigaset, in dem mir erste Informationen mitgeteilt wurden. Aktuell ist der folgende Sachstand, nach Untersuchungen des Herstellers\u00a0 weitgehend gesichert.<\/p>\n<ul>\n<li>Es ist nur ein Teil der Ger\u00e4te vom Malware-Befall betroffen &#8211; (Ger\u00e4te, die \u00fcber einen bestimmten Update-Server beliefert werden).<\/li>\n<li>Es war ein Update-Server, der von Gigaset-Ger\u00e4ten zur Aktualisierung benutzt wird, kompromittiert, so dass die betreffenden Ger\u00e4te durch Malware befallen wurden.<\/li>\n<li>Dieser Kompromittierung des Update-Servers ist nach aktuellem Kenntnisstand wohl behoben, so das keine Malware mehr neu installiert wird.<\/li>\n<\/ul>\n<p>Ger\u00e4tebesitzer, <em>deren Smartphones bisher nicht betroffen waren<\/em>, k\u00f6nnen diese wohl &#8211; so die erste vorsichtige Einsch\u00e4tzung &#8211; wieder benutzen. Es deutet sich auch an, dass der Hersteller demn\u00e4chst per Update betroffene Ger\u00e4te s\u00e4ubern kann. Hier bleibe ich noch im ungef\u00e4hren, da ich die Zusage von Gigaset habe, dass ich im Laufe des 7.4.2021 mit schriftlichen Details versorgt werden &#8211; die sollen kommen, wenn Untersuchungen abgeschlossen sind. Ich denke, das muss man zugestehen &#8211; und das aktuell im Wartungsmodus befindliche Gigaset Forum ist wegen eines Relaunchs bereits l\u00e4nger (WayBack sagt mir seit 2017) im Wartungsmodus.<\/p>\n<p>Es gibt auch noch diese Mitteilung von Gigaset, die ich unkommentiert hier im Blog einstelle &#8211; beachtet die Angabe, welche Smartphones nicht betroffen sein sollen. Wenn mir mehr (belastbare) Informationen vorliegen, ver\u00f6ffentliche ich die &#8211; und wenn es gut l\u00e4uft, mit einer prinzipiellen Hintergrundanalyse (Fragen gibt es, dank meiner super Blog-Leserschaft, ja inzwischen zur Gen\u00fcge).<\/p>\n<blockquote><p><em>Im Rahmen von routinem\u00e4\u00dfigen Kontrollanalysen ist uns aufgefallen, dass bei einigen \u00e4lteren Smartphones Probleme mit Schadsoftware aufgetreten sind. Diese Erkenntnis wurde auch durch Anfragen von einzelnen Kunden best\u00e4tigt.<\/em><\/p>\n<p><em>Wir nehmen das Thema sehr ernst und arbeiten intensiv an einer kurzfristigen L\u00f6sung f\u00fcr die betroffenen Nutzer.<\/em><\/p>\n<p><em>Dabei arbeiten wir eng mit IT-Forensikern und den zust\u00e4ndigen Beh\u00f6rden zusammen. Wir werden die betroffenen Nutzer schnellstm\u00f6glich informieren und Informationen zur L\u00f6sung des Problems bereitstellen.<\/em><\/p>\n<p><em>Wir gehen davon aus, dass wir binnen 48 Stunden weitere Erkenntnisse, bzw. eine L\u00f6sung des Sachverhalts anbieten k\u00f6nnen.<\/em><\/p>\n<p><em>Wichtig ist an dieser Stelle auch zu erw\u00e4hnen, dass nach aktuellem Kenntnisstand der Vorfall nur \u00e4ltere Ger\u00e4te betrifft.<\/em><\/p>\n<p><em>Wir gehen derzeit davon aus, dass die Ger\u00e4te GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 und GS4 <strong>nicht<\/strong> betroffen sind.<\/em><\/p><\/blockquote>\n<p>Beachtet aber die Formulierung \"man geht davon aus\" im letzten Satz &#8211; es gibt also keine Sicherheit. Dies auch im Hinterkopf behalten, falls wer nicht betroffene Ger\u00e4te wieder in Betrieb nehmen m\u00f6chte (ich denke speziell an das Firmenumfeld, wo das Thema DSGVO relevant ist).<\/p>\n<h2>Update-App das Problem<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Bei The Hacker News ist noch der Artikel <a href=\"https:\/\/thehackernews.com\/2021\/04\/pre-installed-malware-dropper-found-on.html\" target=\"_blank\" rel=\"noopener\">Pre-Installed Malware Dropper Found On German Gigaset Android Phones<\/a> erschienen, wo letztendlich einige Analysen, die hier von Blog-Lesern in den Kommentaren zu den Artikeln ver\u00f6ffentlicht wurden, von Malwarebytes-Forscher Nathan Collier best\u00e4tigt wurden (ich hatte Malwarebytes per Twitter auf den Sachverhalt hingeweisen, aber nichts mehr geh\u00f6rt). Zitat von Collier:<\/p>\n<blockquote><p>Der \u00dcbelt\u00e4ter, der diese Malware-Apps installiert, ist die Update-App mit dem Paketnamen com.redstone.ota.ui, die eine vorinstallierte System-App ist. Diese App ist nicht nur der System-Updater des Mobilger\u00e4ts, sondern auch ein Auto-Installer, bekannt als Android\/PUP.Riskware.Autoins.Redstone.<\/p><\/blockquote>\n<p>Und das ist letztendlich das Problem, was Gigaset nun quasi das \"Genick gebrochen\" hat. Mehr folgt, wenn ich von Gigaset belastbare Informationen habe.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Ich habe jetzt eine erste vorl\u00e4ufige Zusammenfassung einer technischen Analyse der Sicherheitsforscher von Malwarebytes im Blog-Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/07\/vorlufige-analyse-des-gigaset-malware-angriffs-durch-auto-installer-in-der-firmware\/\" rel=\"bookmark noopener noreferrer\" data-wpel-link=\"internal\">Vorl\u00e4ufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware<\/a> ver\u00f6ffentlicht.<\/p>\n<p><strong>Artikelreihe<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2021\/04\/03\/gigaset-gehackt-android-update-server-liefern-wohl-malware-aus\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/04\/neues-zum-gigaset-android-smartphone-malware-befall\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/05\/malwareangriff-was-gigaset-android-gertebesitzer-jetzt-machen-sollten\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Malwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/06\/update-zum-malware-befall-bei-gigaset-android-gerten-6-4-2021\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Update zum Malware-Befall bei Gigaset Android-Ger\u00e4ten (6.4.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/07\/vorlufige-analyse-des-gigaset-malware-angriffs-durch-auto-installer-in-der-firmware\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Vorl\u00e4ufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/kurzinfo-gigaset-pressemitteilung-zum-malware-befall-der-android-gerte-8-4-2021\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Ger\u00e4te (8.4.2021)<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Malwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a>\u00a0\u2013 Teil 1<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021-teil\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Malwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a>\u00a0\u2013 Teil 2<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/12\/gigaset-hrden-beim-bereinigen-des-malwarebefalls-12-april-2021\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Gigaset: H\u00fcrden beim Bereinigen des Malwarebefalls (12. April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/13\/gigaset-malwarebefall-und-das-whatsapp-sim-problem\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Gigaset-Malwarebefall und das WhatsApp\/SIM-Problem<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]An dieser Stelle ein schnelles Update f\u00fcr alle Betroffenen des Malware-Befalls von Gigaset Android-Ger\u00e4ten. Ich hatte gerade ein telefonisches Gespr\u00e4ch mit Gigaset, wo sich langsam der Nebel lichtet.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,426,1376],"tags":[4308,4328,4345],"class_list":["post-251873","post","type-post","status-publish","format-standard","hentry","category-android","category-sicherheit","category-smartphone","tag-android","tag-sicherheit","tag-smartphone"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251873","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=251873"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/251873\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=251873"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=251873"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=251873"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}