![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/04\/smartphone.jpg\")
Wie steht es eigentlich um das Thema Malware-Befall durch eine Supply-Chain-Attacke bei den Gigaset Android-Smartphones, die uns vor Ostern ereilte? Blog-Leser haben mir ihre Erfahrungen in Mails geschildert und auch \u00fcber Ger\u00e4te berichtet, die als repariert und ges\u00e4ubert zur\u00fcckkamen. Und es gibt einen Leser, der sich einen eigenen Firmware-Build erstellt hat, um ein nicht mehr startendes Gigaset zu reparieren. Ich fasse mal einige Informationen zusammen.<\/p>\n
<\/p>\n
Vor Ostern 2021 ereignete sich ein Lieferkettenangriff (Supply-Chain-Attacke) auf die Update-Server, die der deutsche Smartphone-Hersteller Gigaset f\u00fcr seine Android-Smartphones benutzte. Durch den kompromittierten Server in China wurden automatisch Android-Apps mit Malware auf den Gigaset-Ger\u00e4ten installiert. Diese nahm dann Werbeumleitungen vor, w\u00e4hlte teure Premium-Nummern an, buchte kostenpflichtige Optionen und was wei\u00df ich. Zahlreiche Nutzer berichteten auch, dass ihnen WhatsApp gesperrt wurde. Ich hatte ausf\u00fchrlich im Blog in verschiedenen Artikeln berichtet (siehe Links am Artikelende).<\/p>\n
Der Hersteller Gigaset hatte ja den Versuch unternommen, die befallenen Ger\u00e4te \u00fcber Updates von der Malware zu s\u00e4ubern (siehe Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Ger\u00e4te (8.4.2021)<\/a>). Ich hatte die Stillegung der Ger\u00e4te empfohlen (siehe Malwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a>).<\/p>\n Bereits kurz nachdem Gigaset mit der Auslieferung der Updates zum Bereinigen der infizierten Ger\u00e4te begann, kristallisierten sich Probleme mit diesem Ansatz heraus. Ich hatte das im Blog-Beitrag Gigaset: H\u00fcrden beim Bereinigen des Malwarebefalls (12. April 2021)<\/a> angesprochen. In den Kommentaren zu den Blog-Beitr\u00e4gen (siehe Artikelende und hier<\/a>) meldeten sich Nutzer und Nutzerinnen, deren Ger\u00e4te weiterhin von Malware betroffen waren. Die R\u00fcckmeldungen von Blog-Leser Dieter D zum 9. April 2021 per Mail lauteten:<\/p>\n Sehr geehrter Herr Born,<\/p>\n nach dem was ich auf meinem Gigaset 170 sehe, ist das noch nicht vorbei. Es st\u00fcrzen weiterhin laufend Anwendungen ab. Als Ursache konnte ich in den Einstellungen herausfinden, das von de 2GB RAM das Android- Betriebssystem bereits 1,7GB plus Android-System 126MB belegt. Also ist die Malware noch am Arbeiten. Es ist noch seit dem 31.03.21 die Anwendung YGPS auf dem Smartphone. Deinstallieren ging bisher noch nicht.<\/p>\n Vorgestern fiel mit noch auf, das der Speicher auf der Partition mit ca. 50MB\/h abnahm. Nachdem der Verbrauch von 6.3GB auf 8.1 gestiegen war, war das aber nach dem Neustart weg gewesen.<\/p>\n […]<\/p><\/blockquote>\n Und zum 20. Mai 2021 erg\u00e4nzte er in einer weiteren Mail:<\/p>\n Sehr geehrter Herr Born,<\/p>\n betreffend des Gigaset-Hacks, schloss die Beseitigung einer neuen Malware der Virenscannerhersteller nicht das Problem ab. Mittlerweile zeigt sich nun was sich hinter dem Hack vermutlich eigentlich versteckte. Die Zahl der Apps nahm ohne etwas zu tun ab und stieg danach wieder (von 78 auf 89 und wieder auf 78). Einmal poppte eine Meldung auf, das eine infizierte Anwendung nicht deinstalliert werden konnte, wurde aber danach nicht mehr angezeigt. Die verschiedenen Apps, die die Malware installierte, k\u00f6nnte nur Ablenkung gewesen sein.<\/p>\n Das Ger\u00e4t scheint nun als Br\u00fccke f\u00fcr Anrufe aus dem Internet an Mobiltelefone nach Marokko zu dienen, bei welchen die nicht ges\u00e4ubert werden konnten. Diese Vorf\u00e4lle waren am 17. und 18. Mai. Heute nicht mehr, weil vorher das Prepaid-Guthaben zu Ende war. Die Log-Files und Inhalte \u00fcber die ADB werde ich bei R\u00fcckmeldung des Virenscannerhersteller wieder hochladen.<\/p><\/blockquote>\n Das Ganze sieht nicht so wirklich gut aus. Wie sind da eure Erfahrungen?<\/p>\n Der Hersteller Gigaset bot betroffenen Ger\u00e4tebesitzern ja an, dass man seine Smartphones per RMA-Schein zur Reparatur einsenden k\u00f6nne. Ich wurde durch Thomas S. Mitte Mai 2021 per Mail kontaktiert, der mir folgendes schrieb:<\/p>\n vielleicht ein Update eines Artikels oder einen neuen Artikel wert?<\/p><\/blockquote>\n Ich habe heute mein GS 170 das ich eingeschickt hatte zur\u00fcckerhalten. Angeblich wurde ein Softwareupdate installiert. Die Software ist die S112. Diese war auch schon drauf als ich das Ger\u00e4t abgeschickt habe.<\/p>\n Auch auf dem von Gigaset \"ges\u00e4uberten\" Ger\u00e4t wird von Malwarebytes weiterhin der Update-Prozess (Version 6.2.3) als Trojaner \"PUP.Riskware.Autoins.Redstone.P\" gefunden.<\/p>\n Ich reklamiere nun im Ticket nochmals bei Gigaset.<\/p><\/blockquote>\n Gibt es bei anderen Ger\u00e4tebesitzern \u00e4hnliche Erfahrungen, dass die ges\u00e4uberten Ger\u00e4te weiterhin mit \"PUP.Riskware.Autoins.Redstone.P\" ausgeliefert oder mit Malware befallen waren?<\/p>\n Eine Besitzer von Gigaset Smartphones beklagten sich, dass die Ger\u00e4te nach bestimmten Operationen nicht mehr booten konnten. Ein Recovery steht von Gigaset ja nicht zur Verf\u00fcgung. Blog-Leser M.R. hat mich Mitte Mai 2021 per Mail kontaktiert und schrieb:<\/p>\n Guten Abend Herr Born,<\/p>\n erst einmal vielen Dank f\u00fcr die hilfreichen Informationen, die Sie zum Gigaset-Thema bereitgestellt haben. Im Fall des Malware-Befalls von Gigaset-Handys berichteten Nutzer, dass sie ihre Handys nicht mehr booten konnten. Dazu habe ich Informationen, […]<\/p>\n Ich hatte das selbe Problem mit einem GS160 in der Verwandtschaft. Kurz zusammengefasst: Nach unz\u00e4hligen Stunden Recherche und vielen erfolglosen Versuchen mit Backups, Portierungen und unvollst\u00e4ndigen Anleitungen konnte ich endlich ein ma\u00dfgeschneidertes TWRP-recovery f\u00fcr das GS160 aus den source-Dateien von github (https:\/\/github.com\/minimal-manifest-twrp\/platform_manifest_twrp_omni<\/a> , inkl. device-tree) auf einem Ubuntu-VPS erstellen.<\/p>\n Mit diesem Image konnte ich per adb die Nutzerdaten (Dateien, Fotos, WhatsApp) vom GS160 auf den PC \u00fcbertragen. Dieses Recovery-Image (TWRP 3.5.2_9-0 f\u00fcr GS160) k\u00f6nnte ich Ihnen bereitstellen inkl. der f\u00fcr das SP Flash Tool ben\u00f6tigten Scatter-Datei, die ich verwendet habe.<\/p>\n Aber die Handhabung und das Flashen von Images kann nat\u00fcrlich nicht jeder Nutzer durchf\u00fchren und erfolgt immer auf eigene Gefahr.\u00a0 Ich kann nat\u00fcrlich keine Garantie \u00fcbernehmen oder Empfehlung geben und auch keinen pers\u00f6nlichen Support f\u00fcr Nutzer anbieten,\u00a0 da diese ganze Aktion schon viel zu viel meiner Zeit gefressen hat (ca. 4 Wochen nach Feierabend und am Wochenende).<\/p><\/blockquote>\n Der Blog-Leser (der in keiner Verbindung zu Gigaset steht, sondern als Ingenieur in der Industrie arbeitet) meinte, dass die L\u00f6sung aber m\u00f6glicherweise f\u00fcr einige interessierte erfahrene \"T\u00fcftler\" eine gro\u00dfe Hilfe und Erleichterung sein k\u00f6nnte. Er bot mir an, dass er die Dateien bei Interesse bereitstellen w\u00fcrde. Inzwischen hat er mir diesen Link bei file-upload.net<\/a> \u00fcbermittelt. Dort gibt es auch eine Kurzanleitung (PDF-Download<\/a>) und das Recovery-Image. Die Verwendung des ZIP-Archivs erfolgt aber auf eigenes Risiko – Support kann keiner gew\u00e4hrt werden.<\/p>\n \u00c4hnliche Artikel:<\/strong> Malwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a> \u2013 Teil 1 Wie steht es eigentlich um das Thema Malware-Befall durch eine Supply-Chain-Attacke bei den Gigaset Android-Smartphones, die uns vor Ostern ereilte? Blog-Leser haben mir ihre Erfahrungen in Mails geschildert und auch \u00fcber Ger\u00e4te berichtet, die als repariert und ges\u00e4ubert zur\u00fcckkamen. Und … Weiterlesen
\nNach der Anleitung sollte das Ger\u00e4t die Nach \u00fcber durchlaufen. Trotzdem gab es wieder in der Fr\u00fch eine Malware, die nachgeladen wurde: com.yhn4621.ujm0317.<\/p>\n
\n(HEUR:Trojan-Downloader.AndroidOS.Malota.b, \/system\/app\/Rsota\/oat\/arm64\/Rsota.odex)<\/p>\nErfahrungen mit einem \"ges\u00e4uberten\" Ger\u00e4te<\/h2>\n
Nutzerl\u00f6sung: Recovery f\u00fcr GS160<\/h2>\n
\nGigaset Android-Update-Server liefern vermutlich Malware aus<\/a>
\nNeues zum Gigaset Android-Smartphone Malware-Befall (April 2021)<\/a>
\nMalwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a>
\nUpdate zum Malware-Befall bei Gigaset Android-Ger\u00e4ten (6.4.2021)<\/a>
\nVorl\u00e4ufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware<\/a>
\nKurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Ger\u00e4te (8.4.2021)<\/a><\/p>\n
\nMalwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a> \u2013 Teil 2
\nGigaset: H\u00fcrden beim Bereinigen des Malwarebefalls (12. April 2021)<\/a>
\nGigaset-Malwarebefall und das WhatsApp\/SIM-Problem<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"