{"id":256135,"date":"2021-07-27T00:59:18","date_gmt":"2021-07-26T22:59:18","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=256135"},"modified":"2022-03-22T12:44:29","modified_gmt":"2022-03-22T11:44:29","slug":"nachtrag-zum-malwarebefall-bei-gigaset-android-smartphones","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/27\/nachtrag-zum-malwarebefall-bei-gigaset-android-smartphones\/","title":{"rendered":"Nachtrag zum Malwarebefall bei Gigaset Android-Smartphones"},"content":{"rendered":"

\"SicherheitWie steht es eigentlich um das Thema Malware-Befall durch eine Supply-Chain-Attacke bei den Gigaset Android-Smartphones, die uns vor Ostern ereilte? Ein Blog-Leser hat mir im Nachgang zum Lieferkettenangriff auf Gigaset Android-Smartphones noch einige Informationen zukommen lassen. Die S\u00e4uberung klappte nicht wirklich, und der Leser hat einen \"Honeypot\" betrieben, um zu sehen, ob und welche Malware nachgeladen wird. Ich stelle seine Beobachtungen hier im Blog ein – vielleicht kann ein  Betroffener noch was damit anfangen.<\/p>\n

<\/p>\n

Lieferkettenangriff auf Gigaset-Smartphones<\/h2>\n

\"\"Vor Ostern 2021 ereignete sich ein Lieferkettenangriff (Supply-Chain-Attacke) auf die Update-Server, die der deutsche Smartphone-Hersteller Gigaset f\u00fcr seine Android-Smartphones benutzte. Durch den kompromittierten Server in China wurden automatisch Android-Apps mit Malware auf den Gigaset-Ger\u00e4ten installiert. Diese nahm dann Werbeumleitungen vor, w\u00e4hlte teure Premium-Nummern an, buchte kostenpflichtige Optionen und was wei\u00df ich. Zahlreiche Nutzer berichteten auch, dass ihnen WhatsApp gesperrt wurde. Ich hatte ausf\u00fchrlich im Blog in verschiedenen Artikeln berichtet (siehe Links am Artikelende).<\/p>\n

Der Hersteller Gigaset ver\u00f6ffentlichte Anleitungen, um die Ger\u00e4te zu s\u00e4ubern und stellte auch Updates f\u00fcr diesen Zweck bereit. Aber die S\u00e4uberung der Ger\u00e4te klappt nach meinen Beobachtungen nicht wirklich (siehe Neues zum Malwarebefall bei Gigaset Android-Smartphones<\/a>). Ich hatte fr\u00fchzeitig die Stillegung infizierter Ger\u00e4te empfohlen (siehe Malwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a>).<\/p>\n

Erfahrungen eines Lesers<\/h2>\n

Blog-Leser Dieter D. hatte bereits im April 2021 und dann noch im Mai 2021 eine R\u00fcckmeldung \u00fcber seine Erfahrungen per Mail \u00fcbermittelt. Sein Ger\u00e4t, welches nicht ges\u00e4ubert werden konnte, scheint als Br\u00fccke f\u00fcr Anrufe aus dem Internet an Mobiltelefone nach Marokko zu dienen. Ich hatte diese im Blog-Beitrag Neues zum Malwarebefall bei Gigaset Android-Smartphones<\/a> aufgegriffen. Nun hat Dieter mir vor einiger Zeit noch eine zweite Mail geschrieben, in der er weitere Erfahrungen beschrieben hat.<\/p>\n

\n

… den Honigtopf betrieb ich noch weiter. Es zeigte sich, dass nach dem Nachladen binnen dreier Tage sich wieder versteckte Telefonate nach au\u00dfen als Br\u00fccke zur Verschleierung einstellten. Diese gingen immer in das Netz Medi Telecom in Marocco oder Tunesien. In diesen L\u00e4ndern sind die Mobilprovider regional zugeordnet und das gilt auch f\u00fcr die Unterkreise bei den Telefonnummern. <\/p>\n

Im Entwicklermodus konnte ich herausfinden, dass mindestens eine der Malware \u00fcber die UICC-Methode aufgerufen wurde. In einem Beitrag fand ich bereits einen solchen Hinweis, dass dieser nur mit einer neuen Sim-Karte aus dem Teufelskreis ausbrechen konnte. <\/p>\n<\/blockquote>\n

Das K\u00fcrzel UICC steht f\u00fcr Universal Integrated Circuit Card der Trusted Connectivity Allicance<\/a>. Gegen\u00fcber einer SIM ist UICC die Plattform, auf der mehrere Sicherheitsanwendungen ausgef\u00fchrt werden k\u00f6nnen. Der UICC-Angriff erm\u00f6glicht die \u00dcbernahme des Ger\u00e4ts \u00fcber dessen UICC-SIM-Karte (siehe<\/a>). Im aktuellen Fall wurde dies wohl f\u00fcr Telefonate genutzt. Anschlie\u00dfend f\u00fchrte Dieter noch folgendes aus:<\/p>\n

\n

Unter der Liste, welche Apps anscheinend Funktionen f\u00fcr den Virus beinhalten, w\u00e4re noch \"Parallel Accounts Clone-Multiple Account Space\" (siehe) noch zu erg\u00e4nzen. <\/p>\n

Nachdem Google bei seinem Play Store die Anzeige, welche Apps man unter dem Account schon mal installiert hatte, entfernt hat, kann die List daher nicht mehr entsprechend fortgesetzt werden. Im Hintergrund, also nicht angezeigt, wurden alle paar Tage die Apps ausgetauscht. Daher war der Schadcode auch zu gut getarnt.<\/p>\n

Nachdem ich die Bundesnetzagentur angeschrieben hatte, beschwerte sich der Provider, dass er nicht zuerst kontaktiert wurde. Komischerweise wurden die Gespr\u00e4che gutgeschrieben noch bevor die eingeforderte Begr\u00fcndung beim Provider einging. <\/p>\n

Vereinbart wurde eine neue Sim-Karte zuzusenden. Meine bisheriger Zugang wurde am Montag auf Dienstag so gesperrt, dass ich nur noch Anrufe empfangen kann. Die neue Karte erhielt ich am Mittwoch, t\u00e4tigte meinen Anruf zur Aktivierung, der in wenigen Stunden erfolgen sollte. Bisher ist dies nicht erfolgt. Die neue Karte in einem neuen Smartphone ist nicht freigeben im Netz, die alte ist alles bis auf Empfang von Anrufen und SMS gesperrt. <\/p>\n

Emails sind nicht beantwortet worden. Bei Anrufen bei der Hotline wird nur noch nach der Eingabe nach der Telefonnummer gefragt, die Eingabe der Kundennummer (PennyMobil (Congstar)) kommt gar nicht mehr, und nach vier Minuten fliegt man aus der Hotline. <\/p>\n

Auf den Vorschlag, man k\u00f6nne \u00fcber Abh\u00f6ren der Telefonate herausfinden, wer den Service bei den Hackern gebucht haben k\u00f6nnte, wurde bisher nicht eingegangen. <\/p>\n<\/blockquote>\n

Ger\u00e4te Mitglied eines Botnetzes<\/h2>\n

Die nachfolgend skizzierten Ausf\u00fchrungen konnte ich zuerst nicht so richtig einordnen. <\/p>\n

\n

Am Freitag in der Fr\u00fch, der Tintendrucker (Brother Multifunktionsteil) war vorher abgeschaltet und kein Rechner mit Treiber oder F\u00e4higkeiten vorhanden, wollte dieser ein Fax versenden. Bin dabei an das Telefonteil gesto\u00dfen und h\u00f6rte dann noch etwas. Allerdings hat der Drucker keine Verbindung zu einer Telefonleitung. Normalerweise kann parallel zu diesem Betrieb nicht kopiert werden, aber hierbei ging das. Jetzt liegt das Fax vermutlich im Hauptspeicher und l\u00e4sst sich nicht auslesen. <\/p>\n

Beim Kopieren gibt es jetzt verschoben[e Schriften], somit quasi verschmierte Buchstaben, weil dabei die Werte f\u00fcr den Ausgleich des Versatzes beim Doppeldruck verloren gingen. D.h. die Botnetz-Gruppe ist in der Lage herauszufinden welche Drucker im Netz sind und kann einige Modelle direkt im Binary-Bytemodus ansteuern. Der Drucker war bis vor zwei Wochen in einem anderen WLAN-Netzwerk. <\/p>\n

Mittlerweile wurde auf einem Raspberry-Pi 4 HostAP und Etherape eingerichtet. Die bestehende Verbindung des alten Smartphones, eine Gigaset 170, zum Botnetz ist dort gut zu sehen. Interessant war dabei festzustellen, dass vor Beginn der UDP-unknown-Pakete Abfragen des NTP-Protokolls versendet werden. Die Zeitangaben werden anscheinend f\u00fcr die Erzeugung des Schl\u00fcssels (Pa\u00dfwort zur Erzeugung des Schl\u00fcssels) mit einbezogen. Das erschwert nat\u00fcrlich eine Entschl\u00fcsselung, wenn dies nicht nur f\u00fcr die Kommunikation, sondern f\u00fcr die Ransom-Malware auch verwendet w\u00fcrde. <\/p>\n<\/blockquote>\n

Dieter schreibt abschlie\u00dfend noch, dass das neue Smartphone, ein Gigaset GS4, diese Kommunikationen nicht unterst\u00fctzt und von den obigen Problemen nicht betroffen sei. Damit w\u00e4ren wir wieder beim von mir vorgeschlagenen Austauschs der SIM-Karte und Stillegung des betroffenen Gigaset-Smartphones. <\/p>\n

Dieter hat mir dann auf Nachfrage noch geschrieben, dass durch den Hack auf seinem Smartphone die Ger\u00e4te Mitglied in einem Botnet wurden (konnte er durch den Honigtopf feststellen). Zweitens wurde der SMS-Verkehr umgeleitet und verz\u00f6gert. Durch die l\u00e4ngere Deaktivierung von ein paar Tagen und nur kurzes Einschalten des WLAN konnte er auch feststellen, dass \u00fcber die Umleitung auch Accounts angelegt wurden. Zum Beispiel kam vor kurzem eine SMS mit einer PIN von Nike auf dem infizierten Gigaset an. <\/p>\n

Beim Drucker handelt es sich um einen alten MFC-795CW, der sich erst seit kurzem wieder im WLAN befindet, nach dem eine Patrone getauscht wurde. Dieter war Zufall zu diesem Zeitpunkt am Ger\u00e4t und bekam mit, dass ein Fax verschickt werden sollte. Er schreibt, dass der Drucker wohl von infizierten Ger\u00e4ten \u00fcber das WLAN angesteuert wurde:<\/p>\n

a) um etwas zu versenden (In der Historie steht nur \"55\" als Nummer)
b) Es wurde die Aufzeichnungsfunktion des Anrufbeantworters gestartet.
c) Parallel konnte er aber mit dem Ger\u00e4t kopieren. <\/p>\n

Weiteres Schritte waren nicht mehr m\u00f6glich, so Dieter, weil das WLAN weggenommen wurde. Der Drucker l\u00e4sst sich \u00fcber Terminal ansprechen. <\/p>\n

Nmap scan reportNot shown: 995 closed ports
PORT STATE SERVICE
21\/tcp open ftp
23\/tcp open telnet
80\/tcp open http
515\/tcp open printer
9100\/tcp open jetdirect<\/p>\n

Dieter schreibt dazu: Jeder, der einen Raspi mit den Defaultpassw\u00f6rtern im Netz hatte, d\u00fcrfte nun noch immer Mitglied im Botnet sein. Aufgefallen sind diese [die Betreiber des Botnet] nur, weil diese anscheinend sich mit der Leistungsf\u00e4higkeit der Hardware vertan haben. Diese hatten zu viel Ressourcen an RAM und Prozessorleistung gezogen. Daher kam es immer wieder zu Fehlermeldungen von Abst\u00fcrzen der Apps und Systemfunktionen. <\/p>\n

\u00c4hnliche Artikel:<\/strong>
Gigaset Android-Update-Server liefern vermutlich Malware aus<\/a>
Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)<\/a>
Malwareangriff: Was Gigaset Android-Ger\u00e4tebesitzer jetzt machen sollten<\/a>
Update zum Malware-Befall bei Gigaset Android-Ger\u00e4ten (6.4.2021)<\/a>
Vorl\u00e4ufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware<\/a>
Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Ger\u00e4te (8.4.2021)<\/a><\/p>\n

Malwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a> \u2013 Teil 1
Malwarebefall von Gigaset Android-Ger\u00e4ten: Analysen und Handlungsoptionen (8.4.2021)<\/a> \u2013 Teil 2
Gigaset: H\u00fcrden beim Bereinigen des Malwarebefalls (12. April 2021)<\/a>
Gigaset-Malwarebefall und das WhatsApp\/SIM-Problem<\/a>
Neues zum Malwarebefall bei Gigaset Android-Smartphones<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Wie steht es eigentlich um das Thema Malware-Befall durch eine Supply-Chain-Attacke bei den Gigaset Android-Smartphones, die uns vor Ostern ereilte? Ein Blog-Leser hat mir im Nachgang zum Lieferkettenangriff auf Gigaset Android-Smartphones noch einige Informationen zukommen lassen. Die S\u00e4uberung klappte nicht … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426],"tags":[4308,3081,4423,4328],"class_list":["post-256135","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","tag-android","tag-geraete","tag-gigaset","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256135","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=256135"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/256135\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=256135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=256135"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=256135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}