{"id":252144,"date":"2021-04-13T18:01:04","date_gmt":"2021-04-13T16:01:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=252144"},"modified":"2021-07-29T10:02:21","modified_gmt":"2021-07-29T08:02:21","slug":"gigaset-malwarebefall-und-das-whatsapp-sim-problem","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/04\/13\/gigaset-malwarebefall-und-das-whatsapp-sim-problem\/","title":{"rendered":"Gigaset-Malwarebefall und das WhatsApp\/SIM-Problem"},"content":{"rendered":"

[English<\/a>]Nach dem Malwarebefall diverser Gigaset Android Smartphones wurde bei zahlreichen Benutzern ja der WhatsApp-Zugang gesperrt. Es gibt die M\u00f6glichkeit, den Zugang wieder freischalten zu lassen. Da mehrfach gefragt wurde, ob man die SIM-Karte und WhatsApp mit der Telefonnummer gefahrlos weiter verwenden k\u00f6nne, habe ich mal einige Informationen zusammen getragen.<\/p>\n

<\/p>\n

\"\"Das Drama um den Lieferkettenangriff (Supply-Chain-Attack) auf die Gigaset Android-Update-Server und die Infektion diverser Ger\u00e4temodelle mit Malware habe ich ja in den am Artikelende verlinkten Blog-Beitr\u00e4gen (siehe z.B. Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a>) hier im Blog behandelt. Manche Nutzer hofften darauf, dass der Hersteller Gigaset eine L\u00f6sung findet, um die Ger\u00e4te zuverl\u00e4ssig vom Malwarebefall zu befreien. Aktuell sieht es aber nicht so aus, als ob die Ans\u00e4tze allzu erfolgreich sind (siehe z.B. Gigaset: H\u00fcrden beim Bereinigen des Malwarebefalls (12. April 2021)<\/a>). Mein Ratschlag war, und ist es inzwischen auch weiterhin, die Ger\u00e4te still zu legen. Was bleibt, ist aber die Frage: Was ist mit der SIM-Karte und meinem WhatsApp-Konto. Daher hier eine Zusammenfassung dessen, was man als Nutzer wissen sollte.<\/p>\n

Die Malware und WhatsApp<\/h2>\n

In den Kommentaren zum Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a> wird von vielen Betroffenen ausgef\u00fchrt, dass das WhatsApp-Konto gesperrt wurde. Es muss also nach dem Malwarebefall der Ger\u00e4te etwas gravierendes mit dem WhatsApp-Konto passiert sein, dass der Betreiber das Konto sperrt.<\/p>\n

Mittlerweise ist die Sache klarer, denn ich hatte im Blog-Beitrag Vorl\u00e4ufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware<\/a> die Analyse der MalwareBytes-Sicherheitsforscher aufbereitet:<\/p>\n

Der auf den Ger\u00e4ten installierte Android\/Trojan.Downloader.Agent.WAGD <\/em>ist u.a. in der Lage, b\u00f6sartige Nachrichten \u00fcber WhatsApp zu versenden.<\/p>\n

Die b\u00f6sartigen WhatsApp-Nachrichten dienen laut den MalwareBytes-Sicherheitforschern h\u00f6chstwahrscheinlich dazu, die Infektion auf andere mobile Ger\u00e4te weiter zu verbreiten.<\/p>\n

Es wurde auch ausgef\u00fchrt, dass auf einigen Ger\u00e4ten Malware gefunden wurde, die in der Lage ist, b\u00f6sartige SMS-Nachrichten zu versenden.<\/p><\/blockquote>\n

Ab diesem Zeitpunkt war klar, dass man nicht nur das Ger\u00e4t still legen, sondern auch das WhatsApp-Konto gesperrt lassen sollte, bis alle Implikationen gekl\u00e4rt sind. Dass einige Nutzer mit ihren infizierten Ger\u00e4ten die WhatsApp-Sperre aufheben lie\u00dfen und darauf mehrfach wieder gesperrt wurden, ist ein \u00e4u\u00dferst unsch\u00f6ner Sachverhalt – zur\u00fcckhaltend ausgedr\u00fcckt!<\/p>\n

Anmerkung:<\/strong> In diesem Artikel<\/a> vom 10. April 2021 h\u00e4lt Forbes eine b\u00f6se \u00dcberraschung f\u00fcr die 2 Milliarden WhatsApp-Nutzer bereit. Angreifer k\u00f6nnen, wenn die Telefonnummer eines WhatsApp-Kontos bekannt ist, dieses per Telefonanruf deaktivieren. Es l\u00e4sst sich auch verhindern, dass sich Nutzer wieder bei WhatsApp einloggen. Selbst eine Zwei-Faktor-Authentifizierung wird dies nicht verhindern. Wer sich \u00fcber die Details informieren m\u00f6chte, findet bei Forbes sowie in diesem Artikel<\/a> bei Golem weitere Hintergrundinformationen.<\/p><\/blockquote>\n

Das WhatsApp-Konto wurde missbraucht<\/h2>\n

Alleine die obigen Ausf\u00fchrungen sollten WhatsApp-Nutzern zu denken geben. Gehe ich die Kommentare hier im Blog zu meinen diversen Gigaset-Beitr\u00e4gen durch, wird klar, dass die Malware einen gravierenden Missbrauch von WhatsApp vorgenommen haben muss. Hier ein Kommentarauszug<\/a>:<\/p>\n

Bei WhatsApp war eine fremde Nachricht ( asiatisch\/s\u00fcdamerikanisch aussehender, uniformierter Herr; sp\u00e4ter Frau m. Kind gleicher Herkunft.), die ich l\u00f6schte.<\/p><\/blockquote>\n

Benutzerin Manu schreibt in diesem Kommentar<\/a>:<\/p>\n

Whatsapp war auch gesperrt. Nach ca. 24 Stunden konnte ich es wieder installieren. Da hatte ich massenweise Nachrichten von ausl\u00e4ndischen Nummern. Nach recherchieren hab ich raus gefunden die Nummern kamen aus Nigeria.<\/p><\/blockquote>\n

Auch in diesem Kommentar<\/a> beschreibt jemand nach einer WhatsApp-Sperre Anrufe aus Nigeria, Indien und Umgebung. Gleiche Informationen gibt es in diesem Kommentar<\/a>, und hier<\/a> hat jemand sogar Kontakte in WhatsApp verloren sowie einen neuen Kontakt hinzu bekommen – sprich: Die Kontaktliste wurde modifiziert. In diesem Kommentar<\/a> hei\u00dft es:<\/p>\n

Hallo, guten Morgen, ich habe das gleiche Problem mit einem GS270 Plus. Ich bin jedoch zu der Auffassung gekommen, das die genannten Dateien \u00fcber whatsapp verbreitet werden. Grund: Nach der Deinstallation der Dateien erscheinen diese regelm\u00e4\u00dfig dann wieder, sobald ich whatsapp aufgerufen habe. Daf\u00fcr spricht auch, dass Ger\u00e4te ohne SIM-Karte nicht befallen sind.<\/p><\/blockquote>\n

Benutzer Jeff beschriebt in diesem Kommentar<\/a> sehr plastisch seine Erfahrungen mit der Malware: Zugriff auf die Telefonnummer, Gespr\u00e4che k\u00f6nnen mitgeh\u00f6rt werden, Nummern werden gew\u00e4hlt, WLAN-Verbindung l\u00e4sst sich trennen, Konten bei diversen Online-Anbietern werden geschlossen (wohl auf Grund von Versuchen, das Konto zu \u00fcbernehmen). Ab diesem Zeitpunkt w\u00fcrde ich f\u00fcr mich beschlie\u00dfen, dass WhatsApp verbrannt ist – denn es besteht ja die Gefahr, dass meine Kontaktliste durch die Sch\u00e4dlinge ausgewertet und mein Bekanntenkreis dann mit Malware begl\u00fcckt wird (wobei ich hier anmerke, dass ich seit 2018 aus Datenschutzgr\u00fcnen kein WhatsApp mehr installiert habe).<\/p>\n

WhatsApp-\u00dcbernahme versucht<\/h2>\n

In diesem Kommentar<\/a> berichtet ein Nutzer, dass die Angreifer versucht haben, sein WhatsApp-Konto zu \u00fcbernehmen – und in diesem Kommentar<\/a> schreibt jemand:<\/p>\n

Whatsapp gesperrt. Nummer l\u00e4sst sich nicht mehr reaktivieren -> Anfrage WhatsApp l\u00e4uft<\/p>\n

Deinstallation Apps -> keine Wirkung<\/p>\n

Interessant: Daten wurden wohl kompromittiert, da ich eine Nachrticht \u00fcber Telegram erhielt (das meine Mutter nicht hat und auf dem Gigaset nicht installiert ist). Dachte, oh wie cool und hab mit Hi geantwortet -> Nachricht wurde \u00fcbermittelt und auch gelesen .. Aber nicht auf dem Gigaset meiner Mutter, die hat gar kein Telegram!<\/p><\/blockquote>\n

Auf Facebook hatte ich in einer Sicherheitsgruppe Kontakt mit einem Betroffenen, der ebenfalls \u00e4u\u00dferst unsch\u00f6ne Erfahrungen gemacht hat. Auf meinen Post zum Malware-Befall meldete er sich und meinte, dass sein GS 270 nicht kompromittiert sei. Ich riet ihm, eine Antivirus-App mit laufen zu lassen. Ein paar Stunden sp\u00e4ter kam der Betreffende Nutzer mit folgendem Kommentar wieder.<\/p>\n

Es ist gestern Nacht jetzt passiert. Eine App mit dem Namen com.inaction<\/em> ist auf dem Ger\u00e4t aufgetaucht, und ich war pl\u00f6tzlich in What App gesperrt. Ich habe com.inacton<\/em> gel\u00f6scht, und konnte nach einer Mail an den Support Whats App per Anruf freischalten. Per SMS ging nicht, anscheinend wurde auch was gedreht das die Aktivierungs-SMS nicht durchkommt. Ich habe dann Chat Verl\u00e4ufe mit einer Nummer die mit +60 [beginnt], die ich nicht kenne gefunden. Ich habe das Ger\u00e4t jetzt au\u00dfer Betrieb genommen und werde es nicht mehr nutzen, sobald ich ein Ersatzger\u00e4t habe werde ich es mit dem dicken F\u00e4ustel zerst\u00f6ren.<\/p><\/blockquote>\n

In einem Nachgang schreibt der Nutzer noch, interessant ist jedenfalls die Modifikation der infekti\u00f6sen Apps. Man reagiert offenbar darauf das es Listen mit den Apps gibt.<\/em> Sp\u00e4testens seit diesem Erfahrungen ist WhatsApp in meinen Augen zu einem unkalkulierbaren Risiko geworden.<\/p>\n

SMS-Nachrichten nach Ger\u00e4tewechsel<\/h2>\n

Zum Abschluss kann ich noch auf diesem Kommentar<\/a> von Gert verweisen. Zitat aus dessen Kommentar:<\/p>\n

mein Bekannter hat sein Gigaset in Rente geschickt die SimKarte in ein Xiaomi Mi A2 Lite eingelegt und eingerichtet (Whatsapp, Telegram usw.) und erh\u00e4lt seit dem St\u00fcndlich irgendwelche SMS mit Text und Links in verschiedenen sprachen Gl\u00fcckspiel, DHL und Amazon.<\/p><\/blockquote>\n

Und nun entscheidet ihr, ob die Telefonnummer der SIM-Karte, die im infizierten Gigaset-Handy verwendet wurde, guten Gewissens auf einem anderen Ger\u00e4t verwendet werden kann. Sofern ihr einen Vertrag habt, der noch l\u00e4uft, w\u00fcrde ich mich mit dem Support des Mobilfunkanbieters in Verbindung setzen und kl\u00e4ren, ob ein Wechsel der Rufnummer samt SIM-Karte m\u00f6glich ist.<\/p>\n

Erg\u00e4nzung:<\/strong> Die obigen Hinweise, auch zum Wechsel der SIM-Karte erweisen sich wohl als nicht g\u00e4nzlich unn\u00f6tig, wie sich im Beitrag Nachtrag zum Malwarebefall bei Gigaset Android-Smartphones<\/a> vom Juli 2021 nachlesen l\u00e4sst.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nGigaset Android-Update-Server liefern vermutlich Malware aus<\/a>
\nNeues zum Gigaset Android-Smartphone Malware-Befall (April 2021)<\/a>
\nMalwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a>
\nUpdate zum Malware-Befall bei Gigaset Android-Ger\u00e4ten (6.4.2021)<\/a>
\nVorl\u00e4ufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware<\/a>
\nKurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Ger\u00e4te (8.4.2021)<\/a><\/p>\n

Malwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a> \u2013 Teil 1
\nMalwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a> \u2013 Teil 2
\nGigaset: H\u00fcrden beim Bereinigen des Malwarebefalls (12. April 2021)<\/a>
\nGigaset-Malwarebefall und das WhatsApp\/SIM-Problem<\/a>
\nNeues zum Malwarebefall bei Gigaset Android-Smartphones<\/a>
\nNachtrag zum Malwarebefall bei Gigaset Android-Smartphones<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Nach dem Malwarebefall diverser Gigaset Android Smartphones wurde bei zahlreichen Benutzern ja der WhatsApp-Zugang gesperrt. Es gibt die M\u00f6glichkeit, den Zugang wieder freischalten zu lassen. Da mehrfach gefragt wurde, ob man die SIM-Karte und WhatsApp mit der Telefonnummer gefahrlos weiter … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4423,1018,4328,3182],"class_list":["post-252144","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-gigaset","tag-malware","tag-sicherheit","tag-whatsapp"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252144","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=252144"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/252144\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=252144"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=252144"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=252144"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}