{"id":252125,"date":"2021-04-12T19:39:06","date_gmt":"2021-04-12T17:39:06","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252125"},"modified":"2024-03-31T20:15:23","modified_gmt":"2024-03-31T18:15:23","slug":"gigaset-hrden-beim-bereinigen-des-malwarebefalls-12-april-2021","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/12\/gigaset-hrden-beim-bereinigen-des-malwarebefalls-12-april-2021\/","title":{"rendered":"Gigaset: H&uuml;rden beim Bereinigen des Malwarebefalls (12. April 2021)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/04\/smartphone.jpg\" width=\"62\" height=\"84\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2021\/04\/16\/gigaset-roadblocks-in-cleaning-up-the-malware-attack-april-12-2021\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]\u00c4ltere Modelle von Gigaset Smartphones sind ab dem 26. M\u00e4rz 2021 &#8211; und verst\u00e4rkt ab 1. April 2021 &#8211; \u00fcber die Update-Server des Herstellers durch Malware befallen worden. Der Hersteller Firma Gigaset hat zum 8. April 2021 die Information <a href=\"https:\/\/blog.gigaset.com\/lmas\/\" target=\"_blank\" rel=\"noopener\">L\u00f6sung Malware-Angriff Smartphones<\/a> mit Hinweisen zur Bereinigung des Malware-Befalls seiner Android-Ger\u00e4te herausgegeben. Das funktioniert, nach bisherigen R\u00fcckmeldungen, bei vielen Leuten aber nicht wirklich. Jetzt gibt es eine revidierte Anleitung von Gigaset vom 12. April 2021 zur Bereinigung der Ger\u00e4te. Daher ein kurzes Update mit den neuesten Erkenntnissen.<\/p>\n<p><!--more--><\/p>\n<h2>Erkenntnisse zur Infektion<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/28d7f8001ce647f1ad2065ec34040d33\" alt=\"\" width=\"1\" height=\"1\" \/>Was sich aus R\u00fcckmeldungen und Analysen Betroffener langsam herauskristallisiert: In der Firmware der \u00e4lteren Gigaset Android-Smartphones wurden zwei Update-Provider (Nr. 1: RedStone, Nr. 2: Adups), die beide in China residieren, verwendet. Wenn ich die Verlautbarungen von Gigaset und die bei den Update-Versuchen vorgenommenen \u00c4nderungen richtig interpretiere, sollte:<\/p>\n<ul>\n<li>der\u00a0 Update-Provider RedStone (m\u00f6glicherweise nach dem ersten Malware-Befall in 2019) nicht mehr f\u00fcr die Bereitstellung von Updates fungieren,<\/li>\n<li>der Wechsel auf den Adups Update-Server wurde durch eine Aktualisierung der Ger\u00e4te-Firmware angestrebt. Diese Aktualisierung scheint nicht auf allen Ger\u00e4ten erfolgreich durchgef\u00fchrt worden zu sein.<\/li>\n<\/ul>\n<p>Nun ist es Dritten gelungen, wie Gigaset eingestanden hat, \u00fcber einen Lieferketten-Angriff die Schadsoftware per Update-Server zu verteilen. Ich hatte die Sicherheitsforscher von Malwarebytes \u00fcber Twitter informiert. Diese schreiben in <a href=\"https:\/\/blog.malwarebytes.com\/android\/2021\/04\/pre-installed-auto-installer-threat-found-on-android-mobile-devices-in-germany\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag zum Gigaset Malware-Befall<\/a>,\u00a0 dass ein in der Firmware vorinstalliertes Paket <em>com.redstone.ota.ui<\/em> als System-App die Verteilung der Malware \u00fcbernehme. Diese System-App sei aber nicht nur der System-Updater des Mobilger\u00e4ts, sondern auch ein Auto-Installer, bekannt als<em> Android\/PUP.Riskware.Autoins.Redstone<\/em>. Es war also ein Update-Server von Redstone, der kompromittiert war. Unklar bleibt an dieser Stelle, ob Updates nicht digital signiert wurden oder ob der private Schl\u00fcssel zum Signieren von Updates in die H\u00e4nde Dritter gelangte.<\/p>\n<p>Inzwischen verwendet Gigaset den Firmwareupdate Service der Firma Adups, wie man in <a href=\"http:\/\/blog.gigaset.com\/gs3-und-gs4\/\" target=\"_blank\" rel=\"noopener\">diesem Gigaset-Blog-Beitrag<\/a> in den Kommentaren f\u00fcr die\u00a0 Gigaset Smartphones GS3 und GS4 erf\u00e4hrt. Auf neueren Gigaset-Ger\u00e4ten sollte dann der Adups Update-Service \u00fcber den Prozess <em>com.adups.fota <\/em>verwendet werden &#8211; das K\u00fcrzel FOTA steht dabei f\u00fcr Firmware Over The Air. <!--EndFragment--><\/p>\n<p>Gigaset schreibt zwar, Adups sei ein namhafter Hersteller, der den Update-Service bereits f\u00fcr \u00fcber 1 Milliarde Kunden weltweit anbiete. Der Provider \u00fcbernehme in diesem Zusammenhang die Funktion eines reinen Anbieters einer Serviceplattform zum Aufspielen der Softwareupdates. Die Gigaset eigene Entwicklung in Deutschland und Polen stelle dieser Plattform ausschlie\u00dflich von Gigaset-gepr\u00fcfte Android Ger\u00e4tesoftware zur Verf\u00fcgung. Mein Problem: Bereits 2017 berichtete heise im Beitrag <a href=\"https:\/\/www.heise.de\/security\/meldung\/Adups-Android-Riskware-mit-Deja-vu-Effekt-3924598.html\" target=\"_blank\" rel=\"noopener\">Adups: Android-Riskware mit D\u00e9j\u00e0-vu-Effekt<\/a>, dass dieser Anbieter Adups einen sehr zweifelhaften Ruf genie\u00dft.<\/p>\n<p>Ein Blog-Leser berichtet mir \u00fcber Facebook seine Beobachtungen, die ziemlich genau das obige Szenarios beschreiben:<\/p>\n<blockquote><p>Bei mir war auf beiden Ger\u00e4ten die gr\u00f6\u00dfte H\u00fcrde: Ohne das erste manuell geflashte Update standen keine Updates bereit. Die Ger\u00e4te waren auf einem Patchstand August 2018, und behaupteten steif und fest es g\u00e4be keine Updates.<\/p>\n<p>Meine Theorie: Die haben ab einer Version, die ich nie bekommen habe, den Update Server gewechselt, und den alten gibt es nicht mehr. Unsere Ger\u00e4te haben immer nur auf dem alten gesucht und dort (au\u00dfer Viren ab einem gewissen Punkt) nichts gefunden.<\/p><\/blockquote>\n<p>Und beim alten Update-Server wird es dann bitter. In einer technischen Analyse haben die Sicherheitsexperten <a href=\"https:\/\/blog.malwarebytes.com\/android\/2021\/04\/pre-installed-auto-installer-threat-found-on-android-mobile-devices-in-germany\/\" target=\"_blank\" rel=\"noopener\">von Malwarebytes herausgefunden<\/a>, dass \u00fcber <em>com.redstone.ota.ui <\/em>gleich drei Versionen der Malware <em>Android\/Trojan.Downloader.Agent.WAGD<\/em> auf die infizierten Systeme installiert wurde. Der Paketname dieser Malware beginnt immer mit \"com.wagd.\" und wird vom Namen der App (gem, smart, xiaoan) gefolgt. Ich hatte <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/07\/vorlufige-analyse-des-gigaset-malware-angriffs-durch-auto-installer-in-der-firmware\/\" target=\"_blank\" rel=\"noopener\">im Blogbeitrag hier<\/a> die Folgen der Infektion durch die Schadsoftware <em>Android\/Trojan.Downloader.Agent.WAGD<\/em> skizziert. Zudem wurden einige Mobilger\u00e4tebesitzer mit der Schadsoftware <em>Android\/Trojan.Downloader.Agent.WAGD <\/em>infiziert. Die Installation erfolgte dabei auf Spiele-Webseiten, auf die der Benutzer durch Browser-Redirects durch den Trojaner <em>Android\/Trojan.Downloader.Agent.WAGD <\/em>umgeleitet wurde. \u00dcber den Downloader wurden diverse Schad-Apps, vom Crypto-Geld-Miner bis hin zum Trojaner, der b\u00f6sartige SMS-Nachrichten senden kann, um die Infektion weiter zu verbreiten, installiert.<\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Hatte es im Hinterkopf, aber auf die Schnelle nicht gefunden. Der <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021\/#comment-104962\">Kommentar hier<\/a>:<\/p>\n<blockquote><p>mein GS280 hat kein <em>redstone.ota<\/em> sondern den <em>adups.fota<\/em> und ist trotzdem infiziert worden. Ich denke, die Infizierung ist nur noch nicht so plakativ offensichtlich geworden , f\u00fcr die Nutzer der \u201eneueren\" Ger\u00e4te. (PS. nutze kein Whatsapp oder Facebook)<br \/>\nDie Infizierung ist vermutlich auf Vorrat, bis die Verursacher neue lukrative Angriffspunkte erg\u00e4nzen.<\/p><\/blockquote>\n<p>macht mich ganz hibbelig. Denn das hei\u00dft doch, dass auch der neue Adups-Update-Server per Lieferkettenangriff infiziert wurde (oder es liegt ein gro\u00dfer Irrtum vor).<\/p>\n<blockquote><p>Ab diesem Zeitpunkt blieb eigentlich nur noch, das Gigaset Smartphone still zu legen, da die Ger\u00e4te\u00a0 in meinen Augen kompromittiert waren. Die installierte App <em>yhn4621.ujm0317<\/em> (base.apk) wird zum Beispiel immer wieder installiert. Zudem wurden weitere Sch\u00e4dlinge, die teilweise \u00fcber die (m\u00f6glicherweise infizierte) Store Apps nachgeladen wurden, <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021-teil\/#comment-104968\" target=\"_blank\" rel=\"noopener\">gemeldet<\/a> und <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/kurzinfo-gigaset-pressemitteilung-zum-malware-befall-der-android-gerte-8-4-2021\/#comment-105063\">hier<\/a> sowie <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021-teil\/#comment-105050\" target=\"_blank\" rel=\"noopener\">hier<\/a>. Die Schadsoftware <em>com.wagd.xiaoan.apk<\/em> nutzt wohl ein Botnetz zur Verteilung weiterer Schadsoftware (<a href=\"https:\/\/web.archive.org\/web\/20221003133622\/https:\/\/research.checkpoint.com\/2020\/enter-wapdropper-subscribe-users-to-premium-services-by-telecom-companies\/\" target=\"_blank\" rel=\"noopener\">siehe<\/a>). Was da am Ende des Tages an Schadsoftware auf den Ger\u00e4ten war, kann niemand a priori sagen, da sich das von Ger\u00e4t zu Ger\u00e4t \u00e4ndern kann.<\/p><\/blockquote>\n<h2>Erfolglose Reparaturversuche von Gigaset<\/h2>\n<p>Im Grunde ist ja der Hersteller Gigaset f\u00fcr die Beseitigung der Schadsoftware verantwortlich &#8211; sollten die doch ihr System am besten kennen. Die vom Hersteller Firma Gigaset zum 8. April 2021 herausgegebene Information <a href=\"https:\/\/blog.gigaset.com\/lmas\/\" target=\"_blank\" rel=\"noopener\">L\u00f6sung Malware-Angriff Smartphones<\/a> mit Hinweisen zur Bereinigung des Malware-Befalls seiner Android-Ger\u00e4te erwies sich aber als Totalausfall. Die Infektion der Ger\u00e4te konnte nach den R\u00fcckmeldungen der Blog-Leserschaft nicht beseitigt werden. Inzwischen hat Gigaset zum 12. April 2021 eine <a href=\"https:\/\/web.archive.org\/web\/20231230181002\/https:\/\/blog.gigaset.com\/uvms\/\" target=\"_blank\" rel=\"noopener\">modifizierte Anleitung zur Bereinigung der infizierten Ger\u00e4te<\/a> ver\u00f6ffentlicht &#8211; Blog-Leser Gerold hat <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021-teil\/#comment-105236\">hier<\/a> darauf hingewiesen:<\/p>\n<blockquote><p>Zur\u00fccksetzen auf Werkseinstellungen notwendig<\/p>\n<p>Wir empfehlen betroffenen Kunden die vollst\u00e4ndige L\u00f6schung des Ger\u00e4ts durch das Zur\u00fccksetzen in den Werkszustand. Wir empfehlen zudem Daten, die sich auf einer im Smartphone eingebrachten Speicherkarte befinden, ebenfalls vorher zu l\u00f6schen und die Karte zu formatieren. Hierzu:<\/p>\n<p>Warum muss das Ger\u00e4t zur\u00fcckgesetzt werden?<br \/>\nGrund hierf\u00fcr ist, dass die initial durch den kompromittierten Server auf einige Smartphones gelangten schadhaften Apps nach aktuellem Kenntnisstand weitere schadhafte Apps nachladen, die ebenfalls unerw\u00fcnschte Auswirkungen auf das Smartphone haben. Um dies zu unterbinden, muss das Smartphone in den Werkszustand zur\u00fcckgesetzt werden. Hierdurch wird gew\u00e4hrleistet, dass s\u00e4mtliche schadhaften Apps aus dem Speicher entfernt werden. Eine Wiederherstellung der pers\u00f6nlichen Daten und Apps kann dann kundenseitig \u00fcber die g\u00e4ngigen Cloud- und PC-Backups erfolgen.<\/p><\/blockquote>\n<p>In der verlinkten Gigaset-Anleitung sind diese Schritte n\u00e4her beschrieben. Dieser Ansatz hat leider zwei Probleme, die so in der Anleitung nicht auftauchen, aber real sind.<\/p>\n<ul>\n<li>In <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021-teil\/#comment-105255\">diesem Kommentar<\/a> schreibt ein Blog-Leser, dass ihm das Zur\u00fccksetzen auf den Werksauslieferungszustand nichts gebracht habe. Die App von Malwarebytes findet den Sch\u00e4dling <em>Android\/Trojan.HiddenAds.ACI<\/em>. Ob da ein Fehler beim Zur\u00fccksetzen passiert ist, kann ich so nicht beurteilen.<\/li>\n<li>Es gibt eine Reihe Benutzer, die (u.a. <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021-teil\/#comment-105131\">hier<\/a>, <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021-teil\/#comment-105011\">hier<\/a> und <a href=\"https:\/\/web.archive.org\/web\/20231230181002\/https:\/\/blog.gigaset.com\/uvms\/\" target=\"_blank\" rel=\"noopener\">hier<\/a> bei Benutzer Paul), die nach dem Zur\u00fccksetzen auf den Werksauslieferungszustand nicht mehr bootende Ger\u00e4te vorgefunden haben.<\/li>\n<\/ul>\n<p>Zieht man einen Strich unter diese obigen Erfahrungen, bleibt die ern\u00fcchternde Feststellung, dass wir nach einer Woche genau so weit sind, wie an Ostern. Die Reparaturanleitungen des Herstellers Gigaset erm\u00f6glichen keine zuverl\u00e4ssige Bereinigung der infizierten Ger\u00e4te (ich dr\u00fccke es mal positiv aus, denn es bleibt die Frage, ob \u00fcberhaupt irgend eines der Ger\u00e4te erfolgreich bereinigt wurde). Es bleibt also weiterhin bei meiner Empfehlung, die Ger\u00e4te still zu legen und ggf. als Reklamation an Gigaset zur Reparatur zu schicken.<\/p>\n<p>In einem weiteren (geplanten) Artikel fasse ich noch einige Gedanken zusammen, warum auch auch mit der Wiederverwendung der SIM-Karte auf einem anderen Ger\u00e4t ein Problem sehe oder zumindest sehr vorsichtig agieren w\u00fcrde. Das gilt speziell f\u00fcr den Missbrauch von WhatsApp und SMS.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/03\/gigaset-gehackt-android-update-server-liefern-wohl-malware-aus\/\">Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/04\/neues-zum-gigaset-android-smartphone-malware-befall\/\">Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/05\/malwareangriff-was-gigaset-android-gertebesitzer-jetzt-machen-sollten\/\">Malwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/06\/update-zum-malware-befall-bei-gigaset-android-gerten-6-4-2021\/\">Update zum Malware-Befall bei Gigaset Android-Ger\u00e4ten (6.4.2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/07\/vorlufige-analyse-des-gigaset-malware-angriffs-durch-auto-installer-in-der-firmware\/\">Vorl\u00e4ufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/kurzinfo-gigaset-pressemitteilung-zum-malware-befall-der-android-gerte-8-4-2021\/\">Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Ger\u00e4te (8.4.2021)<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Malwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a>\u00a0\u2013 Teil 1<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/08\/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021-teil\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Malwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a>\u00a0\u2013 Teil 2<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/12\/gigaset-hrden-beim-bereinigen-des-malwarebefalls-12-april-2021\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Gigaset: H\u00fcrden beim Bereinigen des Malwarebefalls (12. April 2021)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/04\/13\/gigaset-malwarebefall-und-das-whatsapp-sim-problem\/\" rel=\"noopener noreferrer\" data-wpel-link=\"internal\">Gigaset-Malwarebefall und das WhatsApp\/SIM-Problem<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2021\/07\/27\/nachtrag-zum-malwarebefall-bei-gigaset-android-smartphones\/\" rel=\"bookmark noopener noreferrer\" data-wpel-link=\"internal\">Nachtrag zum Malwarebefall bei Gigaset Android-Smartphones<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]\u00c4ltere Modelle von Gigaset Smartphones sind ab dem 26. M\u00e4rz 2021 &#8211; und verst\u00e4rkt ab 1. April 2021 &#8211; \u00fcber die Update-Server des Herstellers durch Malware befallen worden. Der Hersteller Firma Gigaset hat zum 8. April 2021 die Information L\u00f6sung &hellip; <a href=\"https:\/\/borncity.com\/blog\/2021\/04\/12\/gigaset-hrden-beim-bereinigen-des-malwarebefalls-12-april-2021\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,1376],"tags":[4423,1018,4328,4345],"class_list":["post-252125","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-smartphone","tag-gigaset","tag-malware","tag-sicherheit","tag-smartphone"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252125","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252125"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252125\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252125"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252125"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}