Gigaset Android-Update-Server liefern vermutlich Malware aus

[English]Beunruhigende Nachrichten, die mir gerade von einem Blog-Leser zugegangen sind. Der deutsche Smartphone-Hersteller Gigaset scheint von einem Hack betroffen zu sein. Es könnte auch noch an einem SIM-Diensteanbieter liegen. Aber mindestens einer der Android-Update-Server soll Malware ausliefern. Hier die Informationen, die ich bis jetzt habe.


Anzeige

Ein erster Leserhinweis

Blog-Leser Volko hat mir am Karfreitag, den 3.4., eine Mail mit den entsprechenden Informationen geschickt (danke dafür) – habe diese wegen "Oster-Lockdown" aber erst später abgerufen. Volko schreibt:

Hallo Herr Born,

pünktlich zum langen Osterwochenende ist die Firma Gigaset offenbar von einem Sicherheits-Super-GAU betroffen: Mindestens einer der Update-Server für Android Smartphones wurde offensichtlich kompromittiert und liefert seit einigen Tagen Malware aus, welche über die im Hintergrund als Systemprozess laufende Update-App auf verschiedenen Gigaset Smartphones automatisch installiert wird.

Wir haben bei uns in der Familie vier Gigaset GS180 in Betrieb (2x D2-Netz + 2x E-Netz), von denen seltsamerweise nur die beiden Smartphones mit E-Netz Simkarte betroffen waren.

Die Schadsoftware machte sich auf beiden Smartphones gleichermaßen bemerkbar, indem sich urplötzlich Browserfenster mit Werbung für irgendwelche (Glücks-?)Spieleseiten öffneten.

Selbstverständlich ist auf den Smartphones die Installation aus unbekannten Quellen deaktiviert und aus Sicherheitsgründen sind sowohl
Drittanbieterdienste, Sonderrufnummern und Auslandstelefonie seitens des Telefonanbieters gesperrt. Das Schadpotential ist in diesem Fall also
begrenzt, zumal zum Glück nur die Mobiltelefone meiner Kinder betroffen waren auf denen im Gegensatz zu meinem und dem Smartphone meiner Frau noch keine der – mittlerweile unvermeidbaren – Banking-Apps installiert sind.

Auf den beiden betroffenen Smartphones wurden jeweils drei Malware Apps installiert, welche sich zum Glück problemlos beenden und deinstallieren ließen, von der im Hintergrund als Systemprozess laufenden Update-App dann aber immer wieder neu geladen wurden sofern die Update-App nicht manuell nach jedem Neustart zwangsweise beendet wurde: easenf oder gem, sowie in beiden Fällen smart und xiaoan.

Ich habe die Problematik gestern telefonisch dem Gigaset Kundenservice gemeldet und man versprach mir sich darum zu kümmern und mir eine
Rückmeldung zu geben, was aber aufgrund der Osterfeiertage frühestens am Dienstag nächster Woche geschehen werde.

Ich habe hier ein Gigaset GS 180 – allerdings ohne SIM-Karte – als Testexemplar herumfliegen. Dort konnte ich bei einem Test keine dieser Apps finden.

Diskussion im Google Support-Forum

Volko hat mir dann diesen Link auf das Google-Support-Forum geschickt, wo das Problem seit Anfang der Woche diskutiert wird:

Easenf app ist immer wieder auf mein Handy. Ich lösche sie immer wieder, es ist Malware oder?

Die easenf APP ist wieder auf mein Handy obwohl ich sie immer wieder lösche. Habe gelesen das es mit Malware zutun hat.

Im betreffenden Thread haben sich mehrere Nutzer gemeldet, die alle Gigaset-Geräte besitzen und diese App gefunden haben. Ein weiterer Nutzer schreibt:

Ich kann das Verhalten bei einem Gigaset GS180 bestätigen. Zusätzlich wurden heute folgende Apps installiert:

– com.wagd.smarter

– com.wagd.xiaoan

Habe diese Apps deinstalliert.

Zusätzlich hatte ich in mehreren Browsern (Firefox Klar, Opera, Firefox, Brave…) als Startseite eine Werbeseite zu irgendeinem Spiel. Musste alle Caches/ Daten von den Browsern löschen – so weit ok.

Ich kann mich meinem Vorgänger anschließen, die Systemapp update.apk läuft. Warum die Überhaupt läuft, ist mir nicht klar, da ich automatische Updates in den Entwickleroption ausgeschaltet habe.

Da mein Handy gerootet ist, habe ich die Systemapp update.apk deinstalliert.

Ein Benutzer hat die .apk-Dateien zu Virustotal hochgeladen (siehe hier). Bei Virustotal werden die installierten Apps als Adware.AndroidOS.BrowserAd.A!c oder ähnlich gelistet. Nachfolgender Screenshot zeigt die Auswertung für eine dieser Apps.

Adware-App auf Virustotal
Adware-App auf Virustotal, Zum Vergrößern klicken

Eine weitere Betroffene

Ich hatte auf Facebook einen kurzen Verweis auf den Blog-Beitrag in einer Android-Gruppe eingestellt, bin da aber wegen Kindergartendiskussion wieder raus. Allerdings hat sich eine Betroffene gemeldet, die seit einigen Tagen genau dieses Problem auf dem Gigaset-Smartphone eines Kindes hat. Ich verlinke nicht auf Facebook – was ich zusammenfassen kann:

  • Die Leute klagen über aufpoppende Werbung im Browser etc. (passt zu obiger Virustotal-Einstufung).
  • Eine bestimmte App, über die die Malware ihren Weg findet, ist mir noch nicht bekannt (es wird hier im Blog-Beitrag von Volko lediglich die update.apk als Systemprozess genannt – die hier thematisierte App halte ich nicht für verantwortlich, da auch bereits 10 Monate her).
  • WhatsApp scheint das Konto betroffener Geräte zu sperren (mir sind mehrere Fälle bekannt), weil dort wohl gepostet wird. Es gibt eine Meldung, dass auch ein Facebook-Zugang gesperrt wurde.
  • Das Gigaset-Smartphone wurde von der Betroffenen laut Aussage auf Facebook zurückgesetzt – und es wurde eine neue SIM-Karte eingesetzt.
  • Nach 2 Tagen war das Problem zurück (erst Probleme beim Akku-Laden, dann neue Telefonnummer bei WhatsApp erneut gesperrt).

Es könnte noch immer etwas über eine App eingeschleppt werden – aber Volko hat ja bereits gut vorgearbeitet. Es sieht nach Gigaset Android-Update-Server oder Server eines Drittanbieters für die SIM-Karte aus, die die Schad-Apps ausliefern.


Anzeige

Ergänzung: Inzwischen habe ich noch diesen Post im Malwarebytes-Forum zum Thema gefunden.

Was kann man tun?

Angeregt durch den vorgenannten Forenthread in dem der Teilnehmer "Markus Marquito" das Problem über die Deinstallation der Update-App als
Root gelöst hat, hat Volko als Workaround eine Lösung ohne das "Rooten" des Smartphones gefunden:

Vorinstallierte Android Apps ohne root entfernen

Es genügt, schreibt Volko, auf den Smartphones die Update-App mittels Entwickleroptionen und adb über den nachfolgenden Befehl zu deaktivieren:

adb shell pm disable-user –user 0 com.redstone.ota.ui

Die Richtigkeit des Paketnamen sollte jeder bitte sicherheitshalber vorher auf dem Smartphone bei laufendem Update Systemprozess über die Entwickleroptionen, aktiven Prozesse und Prozesseigenschaften des "Update App" überprüfen! Volko schreibt dazu:

Nachdem ich auf den beiden betroffenen Smartphones und sicherheitshalber auch auf den beiden anderen GS180 die Update-App dauerhaft deaktiviert habe,  besteht bei uns die Problematik zum Glück jetzt nicht mehr.

Man kann nur von Glück reden, dass es den Kriminellen in diesem Fall offenbar nur um das Platzieren von nerviger Werbung ging, wodurch der
Befall mit Schadsoftware überhaupt erst auffiel. Das Schadpotential eines beispielsweise unbemerkt im Hintergrund laufenden Keyloggers oder ähnlicher Software mag man sich hingegen gar nicht vorstellen.

An dieser Stelle ein fettes Dankeschön an Volko für die Information und die geleistete Arbeit. Das Hantieren mit ADB dürfte aber die Gelegenheits-Android-Nutzer deutlich überfordern.

Wie bereits oben kurz erwähnt, kann ich auf meinem Gigaset GS 180 keine der Apps finden – möglicherweise, weil die keine SIM-Karte aufweisen – oder ich habe was übersehen.

Bei einer Suche im Web konnte ich bisher außer dem obigen, von Volko bereits verlinkten, Thread und den inzwischen ergänzten Hinweisen nichts finden. Die von Zimperium hier gemeldete Android-Malware scheint auch etwas anderes zu sein. Besitzer von Smartphones der Firma Gigaset sind aber bereits 2019 Opfer eines solchen Angriffs geworden – zumindest bin ich auf den Artikel Vorsicht, App! Gigaset-Smartphones von Malware betroffen gestoßen.

Achtung: Ich empfehle allen Gigaset Android-Gerätebesitzern die Hinweise im Blog-Beitrag Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten zu beherzigen. Zumindest solange, bis Gigaset reagiert hat und der Vorgang allumfassend geklärt ist.

Antwort von Gigaset steht aus

Eine Presseanfrage an Gigaset ist raus – ich erwarte da aber keine schnelle Antwort – es ist Ostern. Kann jemand die obigen Informationen bestätigen, bzw. ist noch jemand von euch von der obigen Malware betroffen? Falls ja, gibt es weitere Erkenntnisse oder Fundstellen im Web dazu?

Anmerkung: Alles hier ist aktuell "Bleeding Edge" – danke daher für alle Leser für die hilfreichen Kommentare. Da wir Ostern haben, kann es sein, dass Erstkommentare oder Kommentare mit einem Link erst nach einigen Stunden freigeschaltet werden, da ich nicht ständig nachsehe, ob etwas zu moderieren ist. Danke für euer Verständnis.

Ergänzung 4.4.2021: Supportmitarbeiter hat nach vielen Stunden geantwortet – die Malware-Meldung sei weitergeleitet worden – ich bekäme in einigen Tagen Antwort … hab mal auf Twitter (und Facebook) @gigaset und @bsi einen virtuellen Tritt verpasst. Ist ein Super Fail!

Wie ist der Status (Ostersonntag)?

Ergänzung 3: Den neuesten Stand und einige "Analysen" habe ich im Artikel Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021) herausgezogen.

Ergänzung 4: Hab der Golem-Redaktion einen Hinweis gegeben – die dann diesen Artikel publiziert haben. Hat (laut Nutzerkommentaren) wohl auch Firmen-Handys getroffen, wo nur eine App installiert war.

Ergänzung 5: Ich habe inzwischen Kontakt mit Sicherheitsfirmen aufgenommen. Wer Samples kompromittierter System-Apps hat, möge die bitte an folgende Mail-Adresse schicken: samples@eset.com. Aryeh Goretsky von ESET hat mir signalisiert, dass jemand aus deren Team CERT-BUND und ggf. auch CH kontaktiert, sobald genaueres vorliegt.

Ergänzung 6: Von Gigaset ist mir eine erste Einschätzung der Ursache zugegangen – ich habe die vorläufigen Informationen im Blog-Beitrag Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021) veröffentlicht.

Ergänzung 7: Ich habe jetzt eine erste vorläufige Zusammenfassung einer technischen Analyse der Sicherheitsforscher von Malwarebytes im Blog-Beitrag Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware veröffentlicht.

Ergänzung 8: Ein ausführlicher Blog-Beitrag zu den Informationen, die im Artikel  Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021) bereitgestellt wurden samt meiner Einschätzung folgt.

Ergänzung 9: Ich habe die Entwicklung ja in nachfolgend verlinkten Blog-Beiträgen begleitet. Ende Juli 2021 habe ich den letzten Nachtragsartikel, nach Informationen eines Blog-Lesers veröffentlicht (siehe Nachtrag zum Malwarebefall bei Gigaset Android-Smartphones).

Artikelreihe
Gigaset Android-Update-Server liefern vermutlich Malware aus
Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)
Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten
Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021)
Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware
Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)

Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1
Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 2
Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)
Gigaset-Malwarebefall und das WhatsApp/SIM-Problem
Nachtrag zum Malwarebefall bei Gigaset Android-Smartphones


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, SmartPhone abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

246 Antworten zu Gigaset Android-Update-Server liefern vermutlich Malware aus

  1. Anonymous sagt:

    Eine wirklich sehr peinliche Sache für Gigaset.
    Das ist nicht der erste Vorfall dieser Art, bereits 2019 das gleiche Problem: durch das Update-Netzwerk "aus Versehen" installierte Werbungs-App.
    Man trennte sich damals lt. Unternehmensangaben vom Anbieter. Naja.
    Quelle: https://www.androidpit.de/forum/792282/gigaset-malware-com-gennie-clean-auf-dem-handy
    Weiterleitung nach: https://www.nextpit.de/forum/792282/gigaset-malware-com-gennie-clean-auf-dem-handy

    • Günter Born sagt:

      Der Vorfall von 2019 war ja im Artikel verlinkt – damals war es ein Drittanbieter, der mutmaßlich verantwortlich war. Wenn ich lese, dass beim Tippgeber zwei Geräte mit E-Plus-Sim betroffen waren, könnte es auch aus dieser Ecke kommen – noch ist keine Antwort von Gigaset auf meine Anfrage eingetroffen.

      Frage an die Betroffenen: Welcher Mobilfunkanbieter wird benutzt?

      • Imke sagt:

        Bei mir ist es Aldi-Talk, also auch E-Plus/O2. Bei mir heißen die Apps gem, smart und xiaoan. Bei whatsapp hab ich (zum Glück) noch nichts bemerkt (obwohl es heute morgen geöffnet war, nachdem ich es abends aber geschlossen hatte), aber bei mir öffnet sich auch alle naselang der Browser mit nerviger Werbung.
        An die hier beschriebenen Lösungsansätze traue ich mich jedoch leider nicht heran, weil das für mich alles böhmische Dörfer sind.
        Hab mein Handy jetzt erstmal ausgemacht und hoffe, hier nach Ostern vielleicht neue Erkenntnisse zur Ursache und zur Problembeseitigung zu lesen.

        • Volko sagt:

          Hallo Imke,

          als Workaround könntest Du eventuell das Folgende versuchen; ich zitiere der Einfachheit halber aus meinem weiter unten stehenden Kommentar:

          […]
          5) Wer sich nicht zutraut mit adb die Update-App zu deaktivieren könnte diese auch immer nach einem Neustart des Smartphones zwangsweise beenden. Nach meiner Beobachtung bleibt die App danach – ohne Gewähr(!!!) – bis zum nächsten Neustart auch deaktiviert. Wenn man das tatsächlich so machen möchte würde ich allerdings dringend empfehlen, jedes Mal vor dem Ausschalten ALLE Datenverbindungen mittels des Flugmodus zu deaktivieren und nach dem Anschalten dann zunächst die Update-App zwangsweise zu beenden, bevor der Flugzeugmodus wieder deaktiviert wird.

          • Imke sagt:

            Ich glaube, mein Hauptproblem war erstmal überhaupt, dass ich diese Update-App gar nicht gefunden habe. Und dass mir das mit den "Entwickleroptionen" nichts sagte. Da fingen die böhmischen Dörfer für mich schon an. Wie man an diese Entwickleroptionen herankommt, hab ich jetzt inzwischen aber immerhin herausgefunden und dann auch die Update-App gefunden. Ich hab's jetzt mal mit dem erzwungenen Beenden versucht und werde es weiter beobachten. Danke jedenfalls für die vielen Hinweise und Tipps – war halt für mich als Total-Laie anfangs nur schwierig, überhaupt zu verstehen, was damit gemeint war. Hoffe, es ist jetzt erstmal Ruhe.

      • Björn Weidensdorfer sagt:

        Mein GS170 mit O2-Karte (handyvertrag.de von Drillisch) hatte es auch.
        Da es nach einem Werksreset wieder da war, mußte es von einem "Update" gekommen sein, das die Recovery-Partition ändert, da bei Android anders als bei Windows ja der letzte geladene Update-Stand nach einem Werksreset noch vorhanden ist.
        Ich habe sodann mit MalwareBytes die com.redstone.ota.ui gefunden und mit ADB nicht nur deaktiviert, sondern gelöscht (pm uninstall -k –user 0 com.redstone.ota.ui), MalwareBytes machte es nicht, da es eine Systemdatei sei.
        In den Apps erscheint es, wenn man die SystemApps mit einblenden läßt, da heißt es unverschämt "Update" (Icon mit blauer Wolke).

        • Reinkurt sagt:

          Hallo, guten Morgen, ich habe das gleiche Problem mit einem GS270 Plus. Ich bin jedoch zu der Auffassung gekommen, das die genannten Dateien über whatsapp verbreitet werden. Grund: Nach der Deinstallation der Dateien erscheinen diese regelmäßig dann wieder, sobald ich whatsapp aufgerufen habe. Dafür spricht auch, dass Geräte ohne SIM-Karte nicht befallen sind.

          • Günter Born sagt:

            Kann ich nicht gänzlich ausschließen. Aber wieso trifft es nur Gigaset Geräte?:Im englischen Blog haben sich Nutzer einiger imho White Label China-Kracher mit gleichen Erfahrungen gemeldet.

  2. Petra sagt:

    Ich besitze ein Gigaset und bei mir sind es smart, xiaoan und gem.
    Gut, dass ich diesen Artikel finde.
    Leider passiert ausser der Werbung bei mir noch mehr.
    Whats App wurde gesperrt, das konnte ich wieder aktivieren. Facebook wurde auch gehackt und versucht Virenvideos zu teilen. Ich bekomme immer noch seltsame Nachrichten über den Messenger und Whats App.

    • Günter Born sagt:

      Die WhatsApp-Sperre habe ich auch im verlinkten Forenthread gelesen (ich selbst habe seit 2018, d.h. Einführung der DSGVO) kein WhatsApp mehr – vorher war es im Wesentlichen für Tests, um in meinen Android-Büchern da was drüber schreiben zu können). Ich tippe darauf, dass die Apps da die Kontaktdaten abgreifen und kräftig auf diese Kontakte zugreifen oder unter deinem WhatsApp-Konto gepostet haben.

    • Kris sagt:

      Hallo,
      ich habe auch diese probleme mit Gigaset GS160.
      Wie habe Sie Whatsapp wieder activiert?

      Dank
      Kris
      Belgien

  3. Stephan sagt:

    Um was für einen Updateserver geht es da? Systemupdates oder ein eigener Appstore von Gigaset?

    • Volko sagt:

      Leider geht es um Systemupdates, welche von einem mit erhöhten Berechtigungen laufenden Systemprozess an Google PlayProtect vorbei und vom Anwender unbemerkt auf den betroffenen Geräten installiert werden.

  4. Chris sagt:

    Ich habe ein Gigaeset GS370 Plus und seit gestern die gleichen Probleme: chrome öffnet ungefragt Werbseiten mit Spielen oder sonstigem Sch**. Bei mir sind die Apps gem, smart und xiaoan ungefragt auf mein Handy installiert worden. Ein Entfernen bringt nix. Sie kommen immer wieder. Den Browserverlauf in Chrome hab ich auch komplett gelöscht. Trotzdem kommt der Mist immer wieder! Ich hoffe sehr, dass sich da schnell was tut, weil sonst wars das mit dem Handy…

    • Günter Born sagt:

      Es hilft vermutlich nur, wenn die update.apk deaktiviert wird – ist im Artikel ja grob skizziert – nur wird die Masse der Leute am ADB scheitern. Ich habe den ADB zwar standardmäßig drauf, stelle aber fest, dass mir der Monitor irgendwie weniger Funktionen als bei anderen Android-Geräten zugesteht.

      Noch eine Idee: Kannst Du die drei genannten Apps in Android in der App-Liste deaktivieren (Einstellungen-App, dann alle Apps anzeigen und die jeweilige App antippen) und bleiben die dann deaktiviert?

      Ich habe Gigaset zwar die Nacht angemailt, erwarte aber vor Dienstag überhaupt keine Reaktion. Passt wieder wunderbar vom Zeitpunkt "über die Osterfeiertage".

      • ibbsy sagt:

        Hallo Günter!

        Hatte mir vor ein paar Tagen erst die Rezensionen des GS4 auf Amazon angesehen und bin auf Folgendes gestoßen:

        *ttps://www.amazon.de/gp/customer-reviews/RU86JH0AGEE9S/ref=cm_cr_dp_d_rvw_ttl?ie=UTF8&ASIN=B08LDY6YDZ

        Das erklärt womöglich einiges..

        • Günter Born sagt:

          Ist zwar interessant – dürfte aber die Bandbreite nicht erklären. Warten wir es ab. Wenn Gigaset aber neuerdings so agiert, wird es schwierig. Ich persönlich bin mit Rezensionen beim GS 180/185 ausgestiegen – ist schon einige Tage (Mai 2018) her.

      • Stephan sagt:

        Wieso gibt es überhaupt eine update.apk? Die scheint mir schon total Fehl am Platz. Apps sollten durch Google Play kommen und Systemupdates werden nicht von einer App durchgeführt.

        Mir scheint es so, als wäre die update.apk schon Malware.

      • Chris sagt:

        Hallo Günther,
        danke für die Info und die Hilfe. Ja, ich hatte die 3 Apps angeklickt und dann sogar deinstalliert, half aber nix. Sie kamen wieder.
        Beim Durchforsten der Einstellungen, hab ich gesehn, dass ein Update für das GS370 vorhanden ist (Sicherheitsupdates Dezember 2020), das hab ich vorher installiert.
        SUCCESS!! Die Apps sind jetzt nicht wieder aufgetaucht. Vielleicht hilft das anderen ja weiter!

  5. Thorge sagt:

    Gut, dass ich diesen Artikel gefunden habe. Bei mir traten die letzten Tage 1 zu 1 die im Artikel beschriebenen Probleme auf. Zusätzlich konnte ich einige Apps (Chrome, Google maps etc.) nicht mehr öffnen. Ich habe zunächst meine Daten gesichert und das Handy dann gebooted. Hat nichts geholfen. Genannte Apps inklusive der Update App waren direkt wieder installiert.
    Heute morgen habe ich die Update App dann über den ADB deaktiviert. Jetzt ist alles wieder gut. Vielen Dank für den Tipp mit der Android Debug Bridge.
    Warum sollte man die App eigentlich nur deaktivieren und nicht gleich löschen? Das wäre ja auch eine Option über ADB.

    Schöne Grüße!

    • Günter Born sagt:

      Mit dem Löschen: Wenn die nicht kompromittiert ist, würde sie ja gebraucht, um Updates zu ziehen. Wenn es mit Deaktivieren mal abgestellt werden kann, dass die Apps auf's Smartphone kommen, ließe sich abwarten, was Gigaset nach Ostern von sich gibt. Die haben den Link auf meinen Beitrag hier im Support und in der Presseabteilung vorliegen. Aber bitte nicht vergessen: Das hier ist Bleeding Edge – und ich kann nichts auf meinem Gigaset GS 180 nachvollziehen (wobei ich eigentlich auch "Oster-Lockdown" halten, etwas spazieren gehen, mit der Familie am Ostersamstag Pizza backen und etwas relaxen wollte – die Kommentarmoderation im Blog läuft nebenbei).

  6. Itchy sagt:

    Moin
    Bei mir ist das am 26.03 aufgepoppt, nachdem ich Altlasten aus "meinem Playstore" entfernt hatte. Auf einmal meinte Eset Mobile, das da nen Trojaner drauf wäre den er aber entfernt hätte … nächsten Tag fing das mit der Werbung an.
    Hab mir erstmal damit geholfen die Datenverbindungen zu kappen und die neusten Einträge von der SD Karte zu entfernen.
    Bin gespannt was dabei rauskommt.

  7. Adam sagt:

    Hi,
    Ich habe ein Gigaset 170. WhatsApp Ban auch für mich, Website-Popups etc ….
    Extrem nervig
    Besteht ein Risiko für meine Passwörter (Amazon, Yahoo, Chrome) oder meine Dateien (Google Drive) ?
    Ich bin jetzt die ganze Zeit im Flugmodus. Top ! :(

    • Günter Born sagt:

      Ich kann zu den Passwörter nix sagen – alles ist im Blindflug und ich glaube (bei der Suche vor wenigen Stunden habe ich nix weiteres gefunden), der Blog-Beitrag hier ist bisher der einzige, der wenigstens ein paar Infos zusammen nagelt.

  8. Blacky sagt:

    Hallo,
    ich kämpfe ebenfalls seit gestern mit dem Gigaset GS170 meiner Frau. Werbung poppt auf, WhatsApp wurde gesperrt, Startseite Chrome immer wieder gekapert, Apps easenf, smart, xiaoar gefunden und deaktiviert. Auch weitere Apps wie z.B. TankenApp, Tayase gefunden, die nie installiert wurden und ich nicht zuordnen kann gekillt. Allerdings kommt der Mist nach und nach immer wieder. Danke für die Seite, jetzt weiß ich wenigstens, dass wir nichts verkehrt gemacht haben.
    Bin leider nicht so firm in den Tiefen von Android, werd mich aber mal dran versuchen.

    • Andrea Muldea sagt:

      Tayase taucht bei mir auch auf als App die heute installiert wurde. Ich habe die App nicht installiert und sie sagt mir auch nichts.

      Mein WhatsApp wurde gestern auch gesperrt und ich hatte xiaoan, easenf, smart und gem gestern drauf. GS170.

      Was mir noch ganz seltsam vorkommt ist eine App mit 4 chinesischen Schriftzeichen. Sie ist von com.baidu.map.location, Aktualisiert 31.12.2008. Das kommt mir sehr spanisch vor. Dies kann auch nicht deinstalliert werden. Ich habe die App mal beendet und deaktiviert.

  9. Dieter sagt:

    Hallo Günter,

    Vielen Dank für diese Hinweise, das GS160 meiner Frau war genauso von smarter und xiaoan betroffen, mitsamt WhatsApp Sperre.

    Beim GS160 ist es das auch das package com.redstone.ota.ui
    ich habe soeben das package deinstalliert, beim Kommando bitte auf zwei "–" beim –user achten.
    adb shell pm uninstall -k –user 0 com.redstone.ota.ui
    Success

    und Daten gelöscht
    adb shell pm clear com.redstone.ota.ui
    Success

    Bei adb shell pm list packages -f taucht es nun nicht mehr auf.

    WhatsApp konnte durch email an Service nach einem Tag wieder aktiviert werden.

  10. Moritz sagt:

    Danke für diesen Artikel! Dachte ich wäre allein mit dem Problem. Versuche es heute Abend über die hier beschriebene Problemlösung.

  11. Blacky sagt:

    Hallo,
    kurze Ergänzung: In den Apps war auch eine namens "Tayase", die habe ich gekillt. Allerdings ist in den aktiven Diensten auch ein Dienst "Tayase", der nach dem Beenden in 1-2 Sekunden wieder aufpoppt

  12. Udo sagt:

    Hallo an die User ich habe auch ein GS170 und bin betroffen, unabhängig davon habe ich mir das neue GS3 gekauft welches ich am Dienstag bekomme, weiß von euch jemand ob dieses Modell auch betroffen ist? Danke im voraus,

  13. Udo sagt:

    Hallo ich habe jetzt mal versucht eure Tipps mit löschen usw. zu versuchen, aber ich habe keine Ahnung wie das geht. Ich hab ein GS170 Android 7 und mich hats auch erwischt, Whatsapp diverse Apps gem usw. Chrome mit div. Seiten, also das volle Programm, ich bekomme am Dienstag das GS3 von Gigaset mit Android 10 und hoffe das der Fehler dort nicht auftritt, denn das wäre sehr schade. Wer von euch könnte mir mal in Worten für doofe erklärten wie ich diesen Fehler evtl. beim GS170 beheben kann, denn ich hätte gerne ruhige Restostern. :-) Danke schonmal

  14. Frank sagt:

    Hallo, …nach Löschen mit Anti-Malware Programm kann man das fiese "Wieder-Einnisten" dieser 3 Apps einfach erstmal verhindern durch Ausschalten von "automatisch herunterladen" in:
    Systemaktualisierungen_Update_Einstellungen und Check-Zyklus auf "Nie"…

    Hat bei mir soweit im GS160 geholfen ;)

    Schöne Ostern!

    • Udo sagt:

      Hi Frank, danke für die Info aber diese Einstellung finde ich beim 170 nicht. Ich hoffe das das neue mit Android 10 diesen Mist nicht hat, und wenn geht's zurück und ich wechsel die Marke.

      • Axel sagt:

        In den Einstellungen, Über das Telefon, Systemaktualisierungen, Update, Zahnrad…

        Ich habe ein GS170 mit allen bekannten Problemen, mal sehen ob es länger hilft.

        • Marion sagt:

          Hallo, habe auch ein GS170. Bin bis zum Update gekommen. Da gibt es aber keine Option zum ausschalten von "autom. herunterladen". Bei mir wird angezeigt: Neue Softwareinformationen, neues Google Sicherheitsupdate. Fortsetzen oder abbrechen? Soll ich es fortsetzen?

        • Udo sagt:

          Wow, vielen Dank Axel, da hast du einem Smartphonedeppen wie mir echt geholfen. Ich bin da echt nicht fit. Danke,

          Viel hat es aber leider nicht geholfen, aber ich krieg ja ein neues mit Android 10, leider wieder ein Gigaset, sollte das auch wieder spinnen wirds zurückgeschickt und am Donnerstag im Lidl das Galaxy A12 von Samsung gekauft.

  15. Matthias sagt:

    Hallo Herr Born,

    vielen Dank für ihren Blog. Ich hatte auch seit gestern das Problem mit aufpoppender Werbung, seltsamen Apps, die ich nicht dauerhaft deinstallieren konnte und einer Sperrung meines WA-Accounts. Mit der Deaktivierung der Updates scheint auch bei mir Ruhe eingekehrt zu sein — WA ist immer noch ruhig ;-(.
    Beim adp-Befehl scheint Ihre Blog-Software allerdings aus dem "Minus Minus user" ein "Gedankenstrich user" zu machen, so dass man den Befehl nicht einfach per Copy&Paste übernehmen kann. Vielleicht können sie durch eine Markierung als Code diese Umwandlung verhindern.

    Schöne werbe- und Malware-freie Ostertage!

  16. Volko sagt:

    Ergänzung zu meiner ursprünglichen E-Mail und an Herrn Born und zu den Kommentaren:

    1) Mit dem Deaktivieren der Malware-Apps wäre mir persönlich unwohl, da nach meiner Beobachtung auf einem der beiden bei uns in der Familie betroffenen GS180 für zwei der drei Apps Berechtigungen für den Zugriff auf das Telefon ohne Benutzerzustimmung(!!!) gesetzt waren. Dieses kann m.E. nur durch den Update-Systemprozess geschehen sein, weshalb ich nicht sicher ausschließen würde, dass eine Deaktivierung der vorgenannten Malware-Apps durch denselben nicht ebenso auch unbemerkt aufgehoben werden könnte.

    2) Bei uns ist auch auf beiden betroffenen Smartphones WhatsApp installiert … was ja leider bei Schulkindern nahezu unvermeidlich ist. Im Nachrichtenverlauf gibt es jedoch zum Glück keine Auffälligkeiten und die Rufnummern wurden auch nicht seitens WhatsApp gesperrt. Meiner Meinung nach völlig überflüssige Apps wie Facebook und Youtube habe ich bei der Ersteinrichtung ohnehin direkt deinstalliert bzw. deaktiviert.

    3) Ich habe in den Entwicklereinstellungen zusätzlich die automatischen Systemupdates deaktiviert, was ich in meiner E-Mail vergessen hatte zu erwähnen. In jedem Fall würde ich nach Deaktivierung der Update-App mittels adb empfehlen, immer mal wieder über die Systemeinstellung zu überprüfen, ob die Update-App nach wie vor deaktiviert ist. Bei uns ist dieses der Fall und zum Glück hat es seither keine weiteren Vorfälle mehr gegeben, so dass ich zurzeit davon ausgehe, mit der Deaktivierung der Update-App die Ursache für den Malware-Befall dauerhaft beseitigt zu haben.

    4) Rückfrage an andere Besitzer von Gigaset Smartphones: Schaut doch mal bitte in den Einstellungen in die App-Liste und lasst Euch die Systemapps anzeigen. Ist bei Euch auch die letzte App in der Liste eine App mit chinesischen Schriftzeichen? … auch wenn ich annehme, dass die App tatsächlich regulär auf den Smartphones vorhanden ist, weil diese bei uns auch auf den beiden nicht vom Malware-Befall betroffenen Geräten zu finden ist. Vielleicht ist hier ja zufällig auch jemand der chinesischen Sprache mächtig und kann die Schriftzeichen lesen und übersetzen; fände ich jedenfalls sehr interessant zu erfahren, was das für eine App ist.

    5) Wer sich nicht zutraut mit adb die Update-App zu deaktivieren könnte diese auch immer nach einem Neustart des Smartphones zwangsweise beenden. Nach meiner Beobachtung bleibt die App danach – ohne Gewähr(!!!) – bis zum nächsten Neustart auch deaktiviert. Wenn man das tatsächlich so machen möchte würde ich allerdings dringend empfehlen, jedes Mal vor dem Ausschalten ALLE Datenverbindungen mittels des Flugmodus zu deaktivieren und nach dem Anschalten dann zunächst die Update-App zwangsweise zu beenden, bevor der Flugzeugmodus wieder deaktiviert wird.

    • Moritz sagt:

      Zu 4) APK=com.baidu.map.location. Es ist also glaub ich ein chinesischer Kartenservice. China erlaubt seinen Bürgern nicht den Zugang zu Google und Baidu ist quasi wie Bing von Windows. Warum es bei Gigaset als Systemapp installiert ist und ob es bereits vor der Infektion installiert war weiß ich leider auch nicht. Malwarebytes meldet aber nichts Verdächtiges.

      • Markus Marquito sagt:

        Ja, die App war schon vorher drauf und regulär. Sie ist eine App, die den location service als Alternative zu google darstellt. Sie ist wahrscheinlich nicht schädlich, aber ich habe sie mal vorsichtshalber und testweise gelöscht (ich habe root). Irgendwo hatte ich gelesen, dass man sie nicht unbedingt braucht, da wir ja google Maps haben. Bis jetzt konnte ich kein Problem feststellen.

  17. Karl sagt:

    genau die beschriebenen Probleme habe ich mit meinem GIGASET 160- Smartphone auch seit dem 1.4.2021:
    – Whatsapp abgeschaltet
    – Einblendung von Werbung
    – "gem", "xiaoan", "smart" u.a. "com…" Apps haben sich nach Löschung immer wieder neu installiert…
    Ich habe das Handy gestern komplett neu aufgesetzt (Werkszustand) und meine Apps neu installiert. Whatsapp scheint wieder zu laufen, Werbung erhalte ich keine, auch die Malware-Apps haben sich noch nicht installiert. Sicherheitshalber habe ich den Datenverkehr (WLAN etc) vorerst gesperrt. LG

  18. Florian Krüger sagt:

    Hallo zusammen,

    ich habe mit meinem GS270 plus seit ein paar Tagen genau das gleiche Problem.
    Genau die gleichen "Apps" mit den selben Auswirkungen.
    Zum Glück war WhattsApp meiner Meinung nach nicht betroffen und sowas wie Facebook habe ich nicht.
    Habe aber vorsichtshalber via Laptop alle Passwörter geändert.

    Nach dem Löschen kam alles wieder. Habe dann das komplette Handy auf Werkseinstellungen zurückgesetzt, aber auch danach leider wieder das gleiche Problem.

    Was noch auffällig war: Ich konnte keine SMS empfangen. Verschicken ging, aber beim Empfangen kam nix, erst nach dem Zurücksetzen des Smartphones.

    Da ich auch nicht gerade der größte Experte bin, traue ich mich an die oben beschriebenen Sachen nicht so recht ran. Wie mache ich das genau? Was ist dieses ADB? Und wie wende ich das an?

    Ich habe mein Gigaset jetzt wieder auf Werkseinstellungen zurückgesetzt und seit heute Morgen das alte Samsung Galaxy meiner Frau in benutzung.
    Kann mir jemand sagen ob ich mir wegen meiner SIM-Karte im neuen Handy Gedanken machen muss?

  19. DasOlli sagt:

    Ich hab ein GS290 mit Android 9… bei mir sind keine der beschriebenen Apps aufgetaucht. Ich hab allerdings gar kein Whatsapp und alle Updates sind soweit möglich auf manuell gestellt, zusätzlich läuft AppGuard als "Firewall"… Chrome ist deaktviert und als Browser kommt Firefox zum Einsatz…. hab ich wohl Glück gehabt

  20. Mathias sagt:

    Danke für den Artikel, ich wollte heute ein Gigaset GS4 bestellen, jetzt ist es ein Nokia 5.4 geworden, da wird zwar nicht das Gerät in Deutschland zusammengebaut, der Softwaresupport kommt dafür aus Deutschland, da habe ich ein besseres Gefühl

  21. Kaj sagt:

    Vielen Vielen Dank für den Artiekl, bei dem gs170 meiner Mutter das selbe Problem. Wir dachten schon, wir wären verrückt. kaspersky und deaktivieren der systemupdates über entwickleroptionen hat super funktioniert

  22. Florian Krüger sagt:

    @ Volko:

    Zu Nummer 4:

    Ja bei mir war in der APP-Liste auch als letzte App eine mit chinesischen Schriftzeichen.

    Erstmal vielen Dank an den Betreiber dieses Blogs und an die vielen Informationen bezüglich dieses Themas. Ohne wäre ich ganz schön aufgeschmissen. Vielen Dank!

  23. Frizz sagt:

    Beim meinem GS170 habe ich seit der letzten Märzwoche die gleiche Problematik.
    Den Paketnamen kann ich bestätigen, Weitere 2 ads konnte die App Malewarebyte entfernen, nicht das Paket, das als Update -App dem System zugeordnet wurde.
    Es war möglich die update App unter Einstellungen zu deaktivieren und unter weiteren Einstellungen der App die Benachrichtigungsberechtigung zu entziehen.
    Herzlichen Dank für den Artikel. Bin nicht mehr allein,
    Die im Haushalt genutzten GS4 sind „noch" nicht betroffen.

    • Frizz sagt:

      Nachsätze:
      1. Die China-Datei 84kb gibt es seit Anfang an
      2. Die update-App ist zu finden bei Einstellungen/Apps
      dort Alle Apps und das rechtsoben befindliche 3-Punktemenue
      auf "Systemprozesse anzeigen" einstellen.
      3. Die App läßt Beenden erzingen zu, die Speicherbereiche auf jeweils 0-kb löschen.
      4. Dieses Beenden hält nicht vor, die Speichernutzung steigt in 12kb-Schritten.

      5. Die Werbeeinblendungen, Beeinträchtigungen finden nicht mehr statt.

      6. Maßnahmen: Malwarebyteapp installiert, ausgeführt. Zuvor Browser deinstalliert. Nach diversen Löschversuchen, Lernschritten und Rück-führung, -setzung der Update-App Vers.6.2.3 wieder Firefox installiert.
      7. Angefangen hat es nach Aufräumarbeiten in der Google-Mediatek.
      Modell GS 170 wurde durch GS4 erstetzt. Die Aldikarte ins GS4. Vodafone verblieb.
      8. Hinweis: Die Googlekontenübernahme aufs GS4 erfolgte mit allen Apps
      zügig, automatisch und komplett, allerdings schon in Dez.2020.
      Das GS 170 ist seit ca. 2 Tagen ruhig.

      • Frizz sagt:

        Folgt man dem Link von "Anonymus" findet man eine gleichartige Problematik auch mit der update-app.
        Dort auch im Post von "Rainer4x4"
        "
        Forum-Beiträge: 8

        25.06.2019, 13:46:20 via Website

        Ach ja, seit ich den Parameter "Über anderen Apps einblenden" auf "Nein" gesetzt habe, nervt das Teil nicht mehr. Zumindest nicht offensichtlich.
        Mich würde interessieren was das Dingens sonst noch macht, ausser Popups zu generieren."

  24. conbold sagt:

    Auf dem Smartphone meiner Mutter (Gigaset GS370 Plus) wurde leider auch dieses System-Update mit der Malware installiert!
    Die folgenden Malware-Apps, die mit diesem System-Update gekommen sind, habe ich bisher identifiziert / deinstalliert / deaktiviert (Paketname als erstes):
    – com.yhn4621.ujm0317
    – com.wagd.xiaoan
    >> Anzeige-Name in den Einstellungen: "xiaoan"
    – com.wagd.smarter
    >> Anzeige-Name in den Einstellungen: "smart"
    – com.baidu.map.location
    >> Anzeige-Name in den Einstellungen: "网络位置" (übersetzt aus dem Chinesischen: "Network location"),
    >> hat sich als privilegierte System-App installiert unter /system/priv-app, die man NICHT löschen kann!
    >> hochgeladen habe ich die Malware-Datei unter: http://www.virustotal.com
    – com.dolphinstudio.taiko
    >> hat sich als das Gelegenheits-Spiel namens "Rhythm Master" getarnt, das unter diesem Paketnamen auf Google Play zu finden ist
    – com.dolphinstudio.hook
    >> hat sich als das Gelegenheits-Spiel namens "Demolition Crew" getarnt, das unter diesem Paketnamen auf Google Play zu finden ist
    – com.relax.rain
    >> hat sich als das Gelegenheits-Spiel "Relax Music" getarnt, das unter diesem Paketnamen auf Google Play zu finden ist
    – com.redstone.ota.ui
    >> ist die System-Update-App, die deaktiviert werden sollte, damit das Malware-Sicherheits-Update nicht immer wieder neu installiert wird.

    • Günter Born sagt:

      Hab den Doppelpost gelöscht und den Link hier freigegeben – muss ich aus Spam-Schutzgründen hier im Blog so machen, dass Posts mit Links in die Moderation laufen.

    • Maxo sagt:

      Hallo,

      danke für die ganzen Infos.
      Wie ist du das alles gelöscht bzw nachvollziehen können?
      Ich hab die Sachen unter Apps gelöscht, aber scheinbar reicht das ja nicht aus.

    • Volko sagt:

      – com.baidu.map.location
      >> Anzeige-Name in den Einstellungen: „网络位置" (übersetzt aus dem Chinesischen: „Network location")

      Ich nehme an, dass diese App regulär auf den Gigaset Smartphones vorhanden ist, da eine solche App mit einem chinesischen Namen – wie gesagt – auf allen 4 bei uns in der Familie in Betrieb befindlichen GS180 gleichermaßen vorhanden ist, auch auf den beiden nicht betroffenen Geräten mit D2-Simkarte.

      Die drei vorgenannten "Gelegenheitsspiele" waren bei uns auf den beiden betroffenen Mobiltelefonen nicht vorhanden, zum Glück!

      Überhaupt scheinen wir mit den Auswirkungen im Gegensatz zu anderen Betroffenen Glück gehabt zu haben, dass wir nur mit ungewollter Werbung belästigt wurden!

  25. Andreas B. SH sagt:

    Ich habe kein Smartphone (nur Tablet anderer Firma) und bin also nicht betroffen, aber weil dies ja nun ein Ernstfall ist, wäre es mal interessant zu wissen, ob bspw. ESET Mobile Security etwas meldet, findet, abwehrt?

  26. Martin sagt:

    Hier noch ein Betroffener mit einem Gigaset GS170. Ebenfalls installiert wurden die Apps gem, smart und xiaoan. Es öffnen sich im Browser irgendwelche Seiten mit Glücksspielen o.ä.

    Noch schlimmer: im Einzelverbindungsnachweis meines Mobilfunkanbieters (Aldi Talk) kann ich sehen, dass zwei SMS verschickt wurden (am 31.03.). Dies war definitiv nicht ich; die Ziel-Rufnummern sind mir unbekannt. Auch bekam ich, direkt nachdem ich den Flugzeugmodus testweise (nach Deinstallation der Apps) deaktivierte, sofort einen Anruf von einer (amerikanischen?) Nummer: +1 928-569…, sowie einige SMS mir unbekannter Nummern, u.a. eine angebliche PIN von eBay.

    Nach einer Neuinstallation des Smartphones (Factory Reset) war ich eben online (nur WLAN), um Apps zu installieren. Währenddessen startete das Smartphone einfach neu – und anschließend hatte ich wieder gem, smart und xiaoan installiert.

    Vielen Dank also für den Artikel, nun ist mir zumindest klar, was hier passiert ist. Das Smartphone bleibt also bis auf Weiteres ausgeschaltet.

  27. Maxo sagt:

    Ich bin auch davon betroffen.
    Es hat auf jeden Fall nichts mit dder Sim Karte zu tun.
    In einen meiner betroffenen Handys ist nicht mal eine Sim Karte hinterlegt.

    Hier hatten ja mehre geschrieben, dass WhatsApp wieder entsperrt worden ist.
    Wie kann ich das veranlassen? Ich kriege immer die Meldung dass ich gesperrt bin.

    Das scheint ja nun schon das zweite Mal bei Gigaset zu sein, dass so ein Fehler passiert.
    Kann man da schon grob fahrlässig sprechen?
    So richtig vertrauen habe ich ja nun nicht mehr die Handys weiter zu nutzen. Wer weiß, wann es das nächste Mal passiert?

    Danke für den Blog.
    Zumindest weiß ich so, dass scheinbar fast alle Gigaset Handys betroffen sind.

    • Petra sagt:

      Hallo Maxo,
      Sie können sich per Email an Whats App wenden.
      Man bekommt relativ schnell Rückmeldung, dass dies überprüft wird.
      Es dauert jedoch einige Stunden bis man entsperrt wird.

  28. Dekre sagt:

    Das zeigt mir nach wie vor meine Vermutung:
    Die Firma Gigaset mit allen "drum und dran" hat es seit Jahrzehnten nicht hinbekommen einfache Telefone und das mit Internetanbindung herzustellen und den Nutzer auch den versprochen nötigen Komfort zu liefern.

    Mit Umstellung der Telekom auf Internet-Telefonie und der Aussage, das nur internetfähige Telefonanlagen dazu fähig sind, habe ich mir ein Gigaset DX800A AIO zugelegt (Kleinbüro für mich) mit diversen sonstiges.

    Fazit (nach mehreren Jahren und mehreren Störungen der spontanen Nichterreichbarkeit):
    # Vergessen Sie Internettelefonie. Der größte Blödsinn. Es funktioniert nicht! Hilfestellung von den "Gigaset"-Leuten (wohl sogar deutsches Unternehmen) gegen Null. Schrott!

    # Die Software von Gugaset nicht verwendbar, nur um seine Telefonanlage mal etwas zu justieren. Der Rest mit Outlook totaler Blödsinn. Das macht jeder Programmierer, der sich mal bisschen damit beschäftigt besser.

    # Ich habe das Telefon vom Internet getrennt und seit dem habe ich auch keine Störungen mit Telefon.

    Die Firma Gigaset ist der totale Versager im Bereich Telekommunikation. Dabei machen die nichts anderes!
    Deshalb wundert es mich nun gerade nicht, dass diese auch Malware ausliefern. Das war wohl immer so und jetzt massiv.

    • Volko sagt:

      Wir nutzen seit vielen Jahren Gigaset DECT Telefone, welche prima funktionieren und auch hinsichtlich der Funktionalität der vier bei uns in der Familie in Betrieb befindlichen GS180 Smartphones kann ich nichts Negatives sagen.

      Letztlich kann so ein Angriff wie dieser jeden Hersteller gleichermaßen betreffen, die Frage ist nur, wie gut und schnell dessen Krisenmanagement funktioniert und welche Konsequenzen anschließend seitens des Herstellers daraus gezogen werden.
      Nach meinem Dafürhalten müsste es für einen solchen Sicherheitsnotfall bei jedem Hersteller Mitarbeiter geben, die rund um die Uhr an 7 Tagen der Woche die Update-Server innerhalb kürzester Zeit vom Netz nehmen können.

      Ein solcher erfolgreicher Angriff auf Systemupdate-Server ist meines Erachtens das "Husarenstück" für jeden Cyberkriminellen und man kann nur von Glück sagen, dass die Angreifer in diesem Fall dumm genug waren sich mit selbständig öffnenden Browserfenstern zu (Glücks-?)Spieleseiten selbst zu verraten.

      Das eigentliche Hauptproblem sehe ich darin, dass dieser Vorfall doch deutliche Fragezeichen hinsichtlich der Sicherheit von Banking-Apps und dergleichen auf Smartphones aufwirft. Über den Systemupdate-Prozess lassen sich offenbar unbemerkt beliebige Apps installieren und sämtliche Berechtigungen setzen. Gleichzeitig hat man als Anwender aber kaum eine Kontrollmöglichkeit, nicht nur bei Android! Insgesamt eine unschöne Entwicklung …

      • Günter Born sagt:

        Von mir wurden Presseabteilung und Support kontaktiert. Presseabteilung rührt sich nicht, Support hat die Info weitergeleitet. Wann was substantielles kommt, keine Ahnung.

        • Olli sagt:

          In einer besseren Welt würde sowieso für alle IT-Produkte-Hersteller (zumindest ab einer gewissen Relevanz und Verbreitung) eine Pflicht für ein 24/7 erreichbares Emergency-Response-Team bestehen.

          Kann man eigentlich dem BSI Sicherheitsvorfälle melden, die nicht einen selbst betreffen? Irgendwer muss doch dem Server den Stecker ziehen können?

  29. Axel sagt:

    Nein, es hilft nicht! Soeben hat sich eine App com.yhn4621.ujm0317 installiert und bettelt um alle Rechte.

  30. Manu sagt:

    Bei mir ist es das gleiche. Whatsapp war auch gesperrt. Nach ca. 24 Stunden konnte ich es wieder installieren. Da hatte ich massenweise Nachrichten von ausländischen Nummern. Nach recherchieren hab ich raus gefunden die Nummern kamen aus Nigeria.

  31. Sven sagt:

    Also bei mir hört das, trotz Update Ausschaltung, leider nicht auf.
    Habe 2 Gigaset GS160 (einmal in Werkszustand versetzt) und ein GS170 hier, leider ohne Erfolg nur am Tag war Ruhe (evtl. Nacht in ??).
    Dazu kommt noch eine "Tayase" App die gelegentlich erscheint.
    Bevor das alles kommt, wird ein Handy automatisch auf lautlos gesetzt (anscheinend bei Tayase).
    Alle Geräte sind im Wlan und sonst O2 (jedoch einmal O2 1x deaktiviert).

    Wie geht das mit dem ADB genau, fliege immer aus dem Terminal ?

    Danke

    • Volko sagt:

      Das Ausschalten der automatischen Systemupdates in den Entwickleroptionen beseitigt das Problem nach meiner Beobachtung nicht, die Deaktivierung der Update-App mittels adb hingegen zum jetzigen Stand aber zuverlässig!

      Für adb muss in den Entwickleroptionen der Debug-Modus aktiviert und auf dem Smartphone nach Anschluss an den PC der Zugriff erlaubt werden … eine Anleitung zu adb ist im Beitrag verlinkt.

      • Sven sagt:

        Alles schon probiert, das Dos Fenster öffnet sich ca. 0,5 Sekunden dann ist es weg (windows 10).
        Der Debug Modus ist natürlich eingestellt ?

        Mfg

        • Volko sagt:

          … das klingt für mich nach einer Windows spezifischen Problematik, in meinem Fall hatte ich ein Linux-Notebook verwendet was problemlos geklappt hat.

          Irgendwo hatte ich gelesen, dass unter Windows Pfad-Variablen gesetzt werden müssten … vielleicht hilft Dir eine diesbezügliche Suche weiter.
          Alternativ könntest Du auch versuchen Deinen PC z.B. mit einem Linux Mint Live-System zu booten, und darin über den Paketmanager adb zu installieren … wobei ich das in einem Live-System noch nicht versucht habe und deshalb nicht sagen kann, ob es funktioniert.

          Ich drücke Dir die Daumen, dass Du es hinbekommst …

          • Sven sagt:

            Danke probier ich morgen, obwohl ich hoffe das Gigaset den Server runterfährt :-). Kann ja alles mal passieren, aber auch die Updates kommen nicht mehr (auf meinem 2 Jahren alten "Wiko" schon (Sicherheitspatch von 2021)) das ist ärgerlich und Gigaset wie es nicht kenne.
            Die Festnetzsparte ist allerdings kaum zu überbieten.

            Danke Frohe Ostern, melde mich ggf. .
            Mfg
            Sven

          • Sven sagt:

            Jetzt ging es mit Windows 10 und zwar mit minimal_adb_fastboot_v1.4.3_setup.exe (bitte googeln) mit den zwei GS160.
            Danach ist allerdings die Updateprüfung über Systemaktualisierung (bzw. das Menü) nicht mehr aufrufbar (hängt).
            Beim GS170 habe ich es über Windows mit Dateimanager erledigt, was bei diesem Modell wohl auch geht (bei den GS160 nicht). Vorher habe ich noch die Speicherkarten entfernt.
            Bis jetzt ist Ruhe und WhatsApp geht nach Freischaltung auch wieder (Whatsapp E-Mail suchen und Telefonnummer angeben).

            Vielen Dank
            Mfg und frohe Ostern

          • Volko sagt:

            Super, dass es geklappt hat.
            Auf unseren G180 gibt es den Menüpunkt "Systemaktualisierung" nicht (mehr?). Ohne es überprüft zu haben, würde ich aber einen Zusammenhang mit dem Ausschalten der automatischen Systemupdates in den Entwickleroptionen annehmen; an Deiner Stelle würde ich es ggf. einfach mal ausprobieren.

  32. Dieter sagt:

    Der Hack versucht durchaus etwas zu abzugreifen. Es fiel vorher auf bei dem Gerät das die Pin per SMS vom Impfzentrum 15-20 Minuten verspätet eintraf. Nur konnten die Hacker damit nichts anfangen. Eine Übernahme von WhatsApp scheint auch versucht worden zu sein. Glücklicherweise werden alle SMS auf ein dummes altes Mobiltelefon gesendet und nicht an das Smartphone.
    Seit drei Wochen gibt es Störungen beim mounten des Smartphones für den Dateiaustausch am Raspberry Pi 4. Das heißt der Hack ist schon länger im System.

    • Volko sagt:

      Der Zusammenhang erschließt sich mir nicht wirklich?!
      Wenn die SIM-Karte in dem "dummen alten" Mobiltelefon eingesetzt ist, gehen SMS an die mit dieser verknüpften Rufnummer ohne Umwege über das Smartphone direkt via SMS Zentrale auf genau das "dumme alte" Mobiltelefon … die zeitliche Verzögerung der SMS des Impfzentrums muss m.E. also andere Ursachen haben.

      Die Störungen beim Anschluss am Raspberry Pi 4 könnten schon eher auf den Hack hindeuten, allerdings würde ich vermuten, dass es dann schon früher entsprechende Meldungen gegeben hätte … aber sicher ausschließen würde ich ein solches Szenario nicht!

  33. Kai sagt:

    Hallo,
    ich habe das gleich Problem seit dem Systemupdate vom Dienstag Abend / Mittwoch Morgen mit meinem Gigaset GS370.
    Zudem wurde mein WhatsApp am Donnerstag Nachmittag mit der Aussage
    "Deine Telefonnummer ist nicht mehr für die Benutzung von WhatsApp zugelassen".
    Heute habe ich mehrere oldscool SMS an eine Bekannte gesendet, und diese kamen alle doppelt an / oder wurden doppelt gesendet.
    Habe jetzt erst mal meine Simkarte sperren lassen.
    LG
    Kai

  34. Barbara sagt:

    Bin mit meinem Gigaset GS160 ebenfalls betroffen, v.a. smart und xiaoan, wurden zum Glück von Kaspersky sofort entdeckt. Mein Mobilfunkanbieter: Vodafone. Da ich kein Whatsapp/Facebook habe, ist es zum Glück bei mir noch nicht ganz so massiv, hatte bisher nur aufpoppende Browserseiten registriert. Das Deaktivieren der Systemupdates und Beenden von update.apk scheint eine Neuinstallation vorerst zu verhindern. Ich hoffe, Gigaset reagiert möglichst bald, denn ADB traue ich mir nicht ohne weiteres zu.
    Danke für eure Tipps und Hilfestellungen!

  35. Peter sagt:

    Meine Schwester ist ebenfalls betroffen. Alle beschrieben Symptome bei einem GS170.

  36. Marc sagt:

    Ich habe ein gigaset Smartphone welches ich nur gelegentlich benutze und gerade letzte Woche habe ich ein Update installieren lassen. Auf einmal WhatsApp Sperre, immer wieder seltsame Startseite im chrome, löschen der fragwürdigen Programme brachte auch keine Dauerlösung. Da Ich standardmäßig iOS nutze bin ich recht schnell mit meinem Latein am Ende gewesen und habe keine Ahnung wie ich den Schaden beheben soll.

  37. Barnaba sagt:

    Selbes Problem hier mit einem Gigaset GS160: Mobilfunkanbieter 1und1, Sim-Karte über D2 Vodafone Netz.
    Hat seit einigen Tagen ein Eigenleben entwickelt. Beim entsperren wurde im Browser eine Werbeseite geöffnet, der Whapsapp Account wurde gesperrt und ich habe keinen Zugriff mehr drauf. Es wurde angefangen im Hintergrund SMS zu verschicken.
    Es haben sich immer wieder ohne mein Zutun Apps installiert, Gem, Smart, Xiaoan, Easenf und weitere. Deinstallieren geht, aber die kommen dann wieder von ganz alleine. Ich hab das Handy jetzt abgeschaltet. Hoffentlich gibt es bald eine Lösung von Gigaset.

  38. Oliver L sagt:

    Das ist kein Hack, das ist by design, wenn man Geräte mit chinesicher Firmware kauft (nicht ganz ernst gemeint in diesem Fall, aber dennoch typisch für verbastelte Betriebssysteme ohne monatliche Sicherheitsupdates und exzellente Entwickler und QM/QS-Abteilungen dahinter)…
    https://de.wikipedia.org/wiki/Gigaset#Neuer_Gro%C3%9Faktion%C3%A4r und keine Android-Telefone z. B. von Google oder mit purem Android One von HMD Global ("Nokia"). Wie immer nehme ich davon die demokratischen Chinesen aus dem Rechtsstaat Taiwan (Republik von China) aus.

    • Günter Born sagt:

      Nun ja, Insidern ist bekannt, dass der Goldin Fund Mehrheitseigner ist – ich wusste es, da die Gigaset-Leute auf virtuellen Presseveranstaltungen 2018 da auch kein Geheimnis draus gemacht haben. Aber damals stellte man sich dar, dass die Federführung der Android- und Smartphone-Entwicklung in Bocholt liegt. Scheint nicht mehr der Fall zu sein.

      • Oliver L sagt:

        Auch das ist nur eine Mutmaßung. Das einzige, was wir sicher wissen, ist, dass es keine Notfall-Inteventionsteam gibt – oder zumindest eine einzige verantwortliche und verantwortungsbewusste Person, die die sofort nötigen Schritte auch unverzüglich einleitet (–> Server verteilen immer noch) und für entsprechende Außenkommunikation sorgt: Hinweise auf der eigenen Website oder über soziale Medien, obwohl ich hier nicht selbst gesucht habe, also falsch liegen könnte. Das hätten die Betroffenen, die sich gerade die Osterfeiertage damit versauen, dann aber vermutlich hier für die anderen schon kund getan.

        • Günter Born sagt:

          Siehe mein Beitrag Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021). Social-Media-Teams sind Ostereier suchen … Support hat es weitergeleitet, was immer das heißt. Mit deiner Einschätzung auf Twitter, dass der Anbieter keine Empfehlung mehr ist, gehe ich konform.

          Daher dokumentiere ich das Zeugs ja hier im Blog.

          Wobei ich da auch die "Pferde vor der Apotheke kotzen sah". Blauäugig wie ich nun mal bin, hatte ich den Beitrag hier auf Facebook in der deutschen Android-Gruppe geteilt. Idee: Wenn Leute Hilfe suchen, dann in einer FB-Android-Gruppe. Reaktion waren Anfeindungen der Art "Click-Baiting" und Eigenwerbung. Hab den Stecker gezogen und den Mods der Gruppe empfohlen, den Post, falls unterwünscht, zu löschen – er wurde gelöscht. So viel zur Kompetenz dieser Gruppen – die hatten die einmalige Chance, leider vertan.

          Alles in allem ein Trauerspiel.

  39. Florian sagt:

    Hallo,

    Ich Reihe mich auch in die Betroffenen ein. Mein GS170 hat alle der beschriebenen Apps selbst installiert. Ich habe Congstar.de, also D Netz
    WhatsApp ist gesperrt. Kann ich mich, nachdem ich den Update "Beenden erzwingen" gemacht habe trauen WhatsApp wieder aktivieren zu lassen? Seit ca 24h machen sich keine tabs mehr auf. Bei mir kommt aber ständig das irgend eine App nicht reagiert, hatte das noch jemand?
    Hoffen wir dass Gigaset da schnell reagiert und seine Server reinigt!!!!

    Vielen Dank für diesen Beitrag… hatte schon ernsthaft am Nutzer des Handys gezweifelt…

    • Oliver L sagt:

      Du darfst/musst einfach davon ausgehen, dass dein Smartphone vollständig Trojaner-kompromittiert ist und keinesfalls mehr genutzt und mit personenbezogenen Daten bestückt sein sollte, also Rücksetzen auf Werkseinstellungen und so lange warten, bis Gigaset sich mal bemüht, Stellung zu beziehen und eine Lösung anzubieten. Im aktuellen Zustand sind die Geräte nur gefährlicher Elektronikschrott. Niemand weiß zu 100 %, ob Bildschirminhalte und Gesten/Tastendrücke nicht schön an eine Unterabteilung der KP Chinas geleitet werden…

  40. Yvonne sagt:

    Hallo, ich habe ebenso Probleme mit meinem Gigaset 370 plus. Öffnen von komischen Werbe-Seiten, Chrome geht nicht mehr, Gmail geht nicht mehr und seit gestern Nachmittag bin ich bei WhatsApp gesperrt… außerdem besagte Malware, die sich nach löschen immer wieder neu selbst installiert.
    Ich bin froh, auf diese Seite gestoßen zu sein, interessante Infos, allerdings für mich als Technik Laie nicht alles umsetzbar. Ich habe es zwar geschafft, den Entwicklermodus einzuschalten, aber da weiß ich jetzt nicht weiter und das Problem besteht weiterhin. Wo genau finde ich diese ominöse Update Datei? Und wie kann ich sie löschen? Ich habe keinen PC/ Laptop und nutze nur mein Handy für fast alles…daher bin ich jetzt ziemlich aufgeschmissen. Ich hoffe, jemand hat noch ein paar leicht umzusetzende Tipps für mich, ich wäre sehr dankbar!!
    Frohe Ostern, Yvonne

  41. Stephan K. sagt:

    Hallo,
    ich habe das gleiche Problem mit meinem GS370 Plus.
    Der Browser öffnet viele Webseiten (Gaming, Horoskope und Taro Seiten).
    Ich habe den Virenscanner Avira und diese oben genannten Apps wurden beseitigt Smart, Xiaoan usw.
    Nach ca. 15 Minuten waren diese Apps wider auf meinem Handy installiert.
    Mein Whatsapp wurde auch gesperrt.
    Ich habe das Telefon nach einer Datensicherung wieder auf "Werkseinstellungen" zurück gesetzt oder formatiert.
    Das Bekannte Problem war direkt wieder vorhanden.
    Zudem sendet es die SMS Nachrichten doppelt.
    Mein Akku war innerhalb von 3 Stunden leer.
    Normalerweise hält er 2-3 Tage.
    Sehr merkwürdig.
    Ich habe heute auch, bei meinem Anbieter alle Kostenpflichtigen Dienste sperren lassen.

    • Volko sagt:

      Hallo Stephan,

      kannst Du nachvollziehen, ob die SMS Nachrichten doppelt an dieselbe Nummer gesendet und seitens des Telefonanbieters doppelt abgerechnet wurden?

      Als Workaround könntest Du eventuell das Folgende versuchen; ich zitiere der Einfachheit halber aus meinem weiter oben stehenden Kommentar:

      […]
      5) Wer sich nicht zutraut mit adb die Update-App zu deaktivieren könnte diese auch immer nach einem Neustart des Smartphones zwangsweise beenden. Nach meiner Beobachtung bleibt die App danach – ohne Gewähr(!!!) – bis zum nächsten Neustart auch deaktiviert. Wenn man das tatsächlich so machen möchte würde ich allerdings dringend empfehlen, jedes Mal vor dem Ausschalten ALLE Datenverbindungen mittels des Flugmodus zu deaktivieren und nach dem Anschalten dann zunächst die Update-App zwangsweise zu beenden, bevor der Flugzeugmodus wieder deaktiviert wird.

      Nachtrag:
      In einem anderen Kommentar wurde erwähnt, dass trotz erfolgreichen zwangsweisen Beendens der Update App diese danach mit der Zeit wieder Speicherplatz im RAM belegt. Dieses könnte darauf hindeuten, dass der Workaround auch ohne Neustart nicht dauerhaft sein könnte. Aus diesem Grund, solltest Du dann unbedingt die Situation regelmäßig beobachten. Das Einzige was zurzeit dauerhaft das Problem beseitigt ist die Deaktivierung oder Deinstallation der "Update App" mittels adb.

      • Stephan K. sagt:

        Hallo Volko,
        Leider kann ich nicht nachvollziehen ob die SMS doppelt berechnet wurden, da ich eine Telefon und SMS Flat habe.
        Ich bin ein absoluter Laie oder kenne mich mit Handys nicht aus.
        Ich benötige es lediglich zum telefonieren, SMSen und WhatsAppen.

        Was mir auch noch aufgefallen ist, dass rechts neben der Feldstärke des Empfanges jetzt auf einmal ein Symbol ist "VoLTE" das war vorher auch nicht.
        Das mit dem Stummschalten kann ich auch bestätigen.
        Zudem hat das GS370 heute schon 3 mal einen Neustart selbstständig durchgeführt.
        Irgendwie habe ich kein gutes Gefühl bei dieser Sache.

        Frohe Ostern an alle in diesem Block

  42. Josh sagt:

    Vielen Dank für diesen hilfreichen Artikel und die Arbeit.

    Das Gigaset Smartphone meiner Mutter ist ebenfalls betroffen (SIM Karte Telekom Netz). Es wäre ohnehin Zeit für ein neues Smartphone. Ist daher folgendes Vorgehen denkbar?

    Fotos sind über Google Fotos gesichert, Kontakte ebenfalls. WhatsApp Backup ist über Google Drive gesichert – > Passwort E Mail, Passwort Google Konto, Passwort Online Banking ändern – > Neues Smartphone einrichten -> Gigaset platt machen und auslassen

    Oder könnte eine Verbreitung über WhatsApp, Foto Dateien und Co. bereits so stattgefunden hat, sodass hier eine "Brücke" direkt zum neuen Smartphone gegeben wäre?

    Sind Kontakte (Kontakte, WhatsApp..) ebenfalls gefährdet, sofern nur normale Nachrichten verschickt wurden ohne Dateien?

    Vielen Dank vorab und beste Grüße

  43. Rudolf sagt:

    Mein Gigaset GS170 ist ebenfalls betroffen, Updateeinstellungen waren auf automatisch.
    Folgende der Apps habe ich nun darauf gefunden:
    gem 1.0 installiert von gem
    easenf 4.0 installiert von easenf
    smart 3.0 installiert von smart
    xiaoan 3.0 installiert von xiaoan
    Tayase 2021_03_12 installiert von Einstellungen
    AppSettings 2.98 installiert von Einstellungen -> Weiß jemand,ob verdächtig?

    Ich habe nun mit der App NetGuard die Nutzung von WLAN und Mobilfunk für diese Apps verboten. Weiß aber nicht, ob dies wirklich wirkt.

    aufgetretende Probleme:
    Whatsapp hat meine Telefonnummer gesperrt.
    Smartphone-Apps, wie z.B. Google Playstore stürzen öfter ab
    allemein schlechtere Performance, Akku wird schneller leer.

  44. Ondrej sagt:

    Hi Everyone.

    I am form Czech Republic. My two daughters has GS270. One is on virtual operator (running on Vodafone) and second one has SIM card from T-Mobile CZ.
    The one which has T-Mobile is affected.
    Both mobiles are under control by Google Family Link.
    I found mentioned apps and installed Avast. It successfully deleted all apps, but not the update.
    The situation changed a lot yesterday evening. Some applications (Avast is include) are blocked / has a gray icons. The GS270 boot in to Android and is becoming be very slow. Android sometime displays a message that a app is too slow (question to stop it or wait).
    The switch to airplane mode was necessary. GS270 was restarting every two or three minutes without it.
    I had to use the ADB command without "0" (zero before com. …) and successfully stop „Update App".
    adb shell pm disable-user -user com.redstone.ota.ui
    The GS270 is still too slow.
    The WhatsApp is now reactivated.

    I have worries that I have lost this GS270 and worries that the second one will get the Malware also.
    I have switched off the automatic update on it.
    It is enough what I can do to protect the not affected GS270? Or is better to use also ADB and disable „Update App" on this GS270?

    Thank you for any future reply/tip.
    Have nice Easter.

    • Volko sagt:

      Hi Ondrej,

      for security reasons I would strongly recommend to disable "Update App" on the not affected GS270 as well immediately. Switching off the automatic update will probably not prevent getting the malware.

      • Ondrej sagt:

        Hi Volko.

        Thank for your reply.
        I do not understand it well – both GS270 are set similarly, but I cannot enable development menu on the not affected one due to the Google Family Link restrictions.
        It is not easy to switching off the automatic update app by ADB here.

        Have a good night.

  45. Marion sagt:

    Hallo!
    Habe ein GS170 und bin bei 1&1 im Netz. Auch ich bin betroffen. Verschiedene sich selbstinstallierende Apps usw. Außerdem wurde auch noch mein Facebookaccount gehackt und diverse unangenehme Videos von meinem Profil aus erstellt. Whats App ist nicht betroffen, funktioniert einwandfrei. Habe Chrome deaktiviert, aber dann funktionieren andere Apps nicht mehr. Außerdem habe ich ein Antivirusprogramm installiert und im Google Play Store automatische Updates deaktiviert. Seitdem haben sich diese Malware Apps nicht mehr selbstinstalliert.
    Habe mein Facebook-Passwort geändert, wurde aber vorhin aufgefordert mich bei Facebook neu anzumelden, mein neues sowie auch mein altes Passwort wurden nicht erkannt. Mein Handy ist irgendwie langsam, durcheinander und spielt verrückt.
    Bin auch froh, diese Seite entdeckt zu haben und nicht alleine mit dem Problem zu sein. Hoffe auf Dienstag….dass etwas "passiert".
    Danke, dass ich die vielen Kommentare lesen kann…bin aber leider absoluter Laie…kann oder traue mich nicht einiges umzusetzen!

    • Bolko sagt:

      Du hast also auf einem kompromitierten Smartphone dein Facebook-Passwort eingegeben.
      Eventuell auf einem gefakten Formular, das nur wie Facebook aussieht.
      Dadurch hast du dem Angreifer deinen Facebook-Account übertragen, der jetzt damit machen kann was er will.

      • Marion sagt:

        Hallo Bolko!
        Habe nun mein Gigaset in seine Einzelteile zerlegt und mein Facebook-Passwort auf meinem Samsung-Laptop zurücksetzen lassen und ein neues eingegeben. Ist das jetzt sicher?
        Außerdem hat sich auch bei mir gestern WhatsApp verabschiedet, meine Mobilfunknr. wäre nicht mehr gültig. Hatte Firefox versuchsweise installiert, aber auch darüber haben sich die unerwünschten Apps eingenistet, Firefox wieder deinstalliert und Chrome deaktiviert.
        Wenn Gigaset das nicht in den Griff kriegt, war es das erste und letzte Handy von diesem Anbieter. Kaufe mir dann diese Woche wieder ein Samsung. Vieeleicht schreibe ich auch noch an den Support von Gigaset.

  46. Jürgen Renz sagt:

    Hallo zusammen,
    das Gigaset 370 meiner Frau zeigt nach einem automatischen Update am 02.04. ebenfalls die bereits genannten Symptome. Die meisten installierten Apps reagieren nur noch sehr langsam oder gar nicht, G-Mail bricht immer wieder ab, ihre Nummer wurde von WhatsApp gesperrt, die aufgeführten Apps gem, easenf, smart… wurden deinstalliert. Bin auf eine Rückmeldung von Siemens gespannt.

  47. Udo sagt:

    Also mein Fazit ist, am Dienstag werde ich mein GS3 aufsetzen, und bis Donnerstag warten, sollte dies dann auch spinnen, wird im Lidl ein Samsung Galaxy A12 gekauft und dann mein letztes Gigaset zurückgeschickt und die Marke nicht mehr benutzt. schade denn es ist mein 4. Gigaset und bisher war ich sehr zufrieden, aber man sollte auch mal was neues probieren. :-)

    Ich wünsche allen hier trotzdem noch frohe Ostern.

  48. Rob sagt:

    GS370 Plus
    D1 Telekom/Mobilcom Debitel
    Android 7
    Ich hatte auch diese Probleme und habe fast alle Hinweise hier befolgt.
    Nachdem ich dann zuletzt den Chrome Browser deinstalliert hatte war bis jetzt endlich Ruhe.
    Eventuell hilft es ja tatsächlich wenn man lediglich den Chrome Browser deinstalliert und z. B. Firfox verwendet, so wie ich jetzt.
    Bin echt gespannt wann die Firma Gigaset Communications endlich aufwacht!
    Das da aktuell keine entsprechende Reaktion von denen folgt ist absolutes NOGO!
    Auf Winfuture (https://winfuture.de/news,122148.html) wird auch auf diesen Blog verwiesen.

  49. Imke sagt:

    Neue "interessante" Dinge bei mir: nach dem erzwungenen Schließen der Update-App sind die Apps gem, smart und xiaoan erstmal nicht wiedergekommen. Allerdings ging vereinzelt doch wieder mein Browser unmotiviert auf und zeigte Werbung an, außerdem ist mir zweimal aufgefallen, dass mein Handy in den "nicht stören" Modus geschaltet wurde. Neu sehe ich jetzt die App com.yhn4621.ujm0317, die lässt sich auch nicht entfernen, sondern nur schließen, wenn ich das richtig sehe…
    Es scheinen auch irre viele Google Play Dienste aktiv zu sein, da ich vorher solche Sachen aber nie überprüft habe, weiß ich nicht, ob das evtl. normal ist…
    Ich lasse das Handy wohl lieber erst einmal aus.

  50. Matthias sagt:

    Hallo nochmal,

    nachdem ich gestern des Update-Service deaktiviert und die vorhandenen Malware-Apps deinstalliert hatte, war erst einmal Ruhe. In der Nacht war mein GS 170 dann plötzlich auf "Nicht stören" geschaltet und der Firefox zeigte wieder viele schöne neue Tabs. Außerdem wurde ich gefragt, ob ich einer kryptische App com.irgendwas Rechte zuweisen will. Im Playstore wird mir angezeigt, dass eine schädliche App com.inaction entfernt worden sein soll. Ein Scan mit Malwarebytes brachte keine Hinweise. Allerdings neigt nach mehreren Stunden Ruhe das Gerät immer wieder dazu, auf "nicht stören" umzuschalten. Sonst sehe ich zur Zeit keine Besonderheiten, aber beruhigend ist das Ganze nicht.

    Kleiner Nachtrag: Das Einschalten von "nicht stören" könnte damit zusammenhängen, dass ich das Gerät gerade am Ladekabel hängen habe. Vorher ist das den ganzen Tag nicht passiert, jetzt alle 5 Minuten oder so…

    • Volko sagt:

      Hallo Matthias,

      wie hast Du den Update-Service deaktiviert?
      – Nur über den Schalter in den Entwickleroptionen? Falls ja, ist klar, warum die Malware wieder installiert wurde … die Update App läuft offensichtlich unabhängig davon im Hintergrund.

      – Deaktivierung der Update-App mittels adb? Falls nein, wäre das zum jetzigen Wissensstand der Weg den Malware-Befall zu stoppen.
      Falls nein, haben wir ein riesiges Problem, weil Dein Fall dann tatsächlich der erste bekannte wäre, bei dem nach Deaktivierung der Update-App mittels adb das Problem erneut aufgetreten ist.

      Bitte um dringende Erklärung! Danke!

      P.S. die beiden bei uns in der Familie betroffenen GS180 sind seit der Deaktivierung der Update-App mittels adb am Samstag Vormittag nicht erneut von Malware befallen worden und die Update-App ist korrekt als deaktiviert gekennzeichnet.

      • Volko sagt:

        In meinem vorstehenden Beitrag hat sich ein Fehler eingeschlichen:

        Statt "Falls nein, haben wir ein riesiges Problem," muss es natürlich heißen "Falls JA, haben wir ein riesiges Problem,"

        • Matthias sagt:

          Ich habe gestern den adp-Befehl ausgeführt und die Meldung erhalten, dass der Service jetzt den Status "user-disabled" hat. Heute hat ein neuer Versuch die gleiche Meldung produziert, ich habe update aber schon vorher nicht mehr unter den aktiven Prozessen gefunden. Insofen scheint es also Fälle zu geben, bei denen dieses Vorgehen nicht sicher hilft. So wie Axel schon gestern Abend um 20:47 und Imke heute um 16:01 schreiben. Ich wurde heute 2x durch com.yhn4621.ujm0317 beglückt, MalwareBytes fand gerade noch mal Tayase.

  51. Holger sagt:

    Hallo an alle betroffenen Gigaset Nutzer.
    Das von mir genutzte Firmenhandy GS 160 ist seit Gründonnerstag auch betroffen. WhatsApp ca 1,5 Tage gesperrt, nun nach vielem Theater wieder freigeschaltet.Dann ein Antivirenprogramm installiert,das mir die von Euch beschrieben Dateien auch angezeigt hat, diese kamen nach dem Löschem aber stets wieder, erst das Abschalten von Automatischen Updates hat das Wiederauftauschen der Dateien verhindert. Jetzt ist "nur noch " das Problem , dass der Akku ratzfatz leer gesaugt wird, ich aber nicht sehe durch welche Anwendung. ???
    Ich hoffe ja auf Gigaset dass Sie sich unsres Problems annehmen.

    • Volko sagt:

      Zum jetzigen Zeitpunkt ist zur dauerhaften Lösung des Problems die Deaktivierung der Update-App mittels PC und adb, sowie natürlich das Löschen der Malware-Apps erforderlich … siehe Artikel.

      • Sven sagt:

        Galt wohl leider nur bisher, habe jetzt schon wieder Probleme.
        Bin "Sven" mit 2 GS160 + einmal GS170 s.o. und habe auch die anderen auftauchenden Apps mit ADB gelöscht.
        Kommen jedoch vereinzelt wieder, werden aber jetzt vom Virenscanner und auch Play Protect tlw. gemeldet.
        Leider alles fast wie vorher, nur das WA wohl nicht mehr gesperrt wird und Diese Update App nicht wieder kommt.

        Mfg

  52. Anonym sagt:

    Hier installieren sich auf einem der beiden betroffenen Gigasets (auf dem 270plus) nun munter Apps.

    com.sixmonkeys.game1.!dieSpace
    com.happysoul.jumping
    com.taieapps.stack
    usw.

    Auf dem zweiten komischerweise nicht. Da sind es nur die "üblichen" Verdächtigen xiaoan, easenf usw.

  53. Ben sagt:

    Hilft ein Hardware Reset über den Recovery Mode? Habe ich jetzt auf einem GS 270 ausgeführt & bis jetzt wurde keine App mehr nachinstalliert (auch nciht, nachdem ich explizit auf "Update suchen" geklikt habe

  54. Barbara sagt:

    Nichts Neues, aber ich kann ein paar Beobachtungen anderer Gigaset-User bestätigen:
    Die Beobachtung, dass sich das Handy von selbst mehrmals in den "nicht stören"-Modus stellte, habe ich gestern auch gemacht, unabhängig, ob das Handy am Ladekabel hing oder nicht.
    Ebenso kann ich bestätigen, dass die ominöse Update App nach erzwungenem Beenden weiterhin Speicherplatz verbraucht und sich nach dem Deaktivieren bei mir selbständig wieder aktiviert – auch ohne einen Handyneustart!
    Und ich kann bei "Mein Telefon" => "Systemaktualisierungen" so oft ich möchte den Update-Zyklus auf "Nie" und ein deaktiviertes "automatisch herunterladen" stellen – das switcht nach einiger Zeit wieder auf "täglich" und aktiviertes "automatisch herunterladen".
    com.inaction war bei mir auch drauf, habe ich nach Matthias' Hinweis jetzt sicherheitshalber auch gelöscht.

    • Rudolf sagt:

      Folgende von Barbara erwähnte Dinge kann ich bestätigen (habe GS170):
      "Nicht stören"-Modus wurde ebenfalls automatisch aktiviert,
      Systemaktualisierungs-Einstellungen wurden von "nie" automatisch wieder auf 1Tag und "automatisch herunterladen" eingestellt.
      Ich habe alle bekannten (oben beschriebenen) Schad-Apps deinstalliert und den Datensparmodus aktiviert (unter Datennutzung), um die Datennutzung von Hintergrund-Apps zu deaktivierern. Bis jetzt sind diese bei mir nicht wieder installiert worden. Die Update-App ist aber noch aktiv.
      Ich traue mich nun nicht mehr, irgendwelche Passwörter einzugeben, da man nicht weiß, ob nicht doch weitere Schad-Apps installiert und nur noch nicht bekannt sind. Wenn man die Update-App mittels adb deaktiviert und dann auf Werkseinstellungen zurücksetzt, wäre dies ein Weg, um sicher sauber zu werden?

  55. Blacky sagt:

    Hallo,
    ich habe gestern Abend das GS 170 meiner Frau via adb von der Update-App und den Malware-Packages befreit. Zunächst hat alles wieder gut ausgesehn. Aber heute Vormittag hat Play-Protect gefragt, ob ich wirklich "com.yhn4621.ujm0317" installieren will und Firefox hatte etwa ein Dutzend dubiose Tabs auf Tarot-Wahrsagerei, Online-Spiele und anderen Mist. Playstore hat kurz nach dem Öffnen einen schwarzen Bildschirm gezeigt und Google hat gesagt, dass nicht öffnen konnte und wieder geschlossen wird.
    Jetzt ist es erst mal aus und ich habe die Nase voll.
    Ich selbst habe ein GS 370 mit Update auf Android 8.1, das ist bisher immer noch sauber geblieben. Gleicher Mobilfunkanbieter wie der meiner Frau (Drillisch via O2)

    • Volko sagt:

      Mist … das ist jetzt wirklich beunruhigend, obwohl die beiden bei uns in der Familie betroffenen GS180 seit der Deaktivierung der Update-App mittels adb am Samstag Vormittag bisher nicht erneut von Malware befallen worden sind und die Update-App korrekt als deaktiviert gekennzeichnet ist.
      Hast Du die Update-App mit adb deinstalliert oder deaktiviert? Falls Du die Update-App nur deaktiviert hattest, versuche einmal in den Entwickleroptionen zusätzlich die automatischen Systemupdates auszuschalten … nicht das diese Einstellung die App wieder unbemerkt aktiviert hat.
      Ich hoffe wirklich, dass es das war … ansonsten haben wir den absoluten Mega-Super-GAU!

      • Blacky sagt:

        Hallo,
        ich hab sie wie beschrieben via \adb shell pm uninstall -k –user 0 com.redstone.ota.ui m.W. deinstalliert. Danach ein Neustart. Bin zwar alles andere als ein Android-Profi, aber das sollte es ja eigentlich gewesen sein und das Package war nachher nicht mehr vorhanden (getestet via \adb shell pm list packages -f).
        Ich hab erst mal entnervt aufgegeben.

  56. Casi sagt:

    Hallo,
    Ich habe 2 Stück GS170.
    Eines ist nicht betroffen, es ist aber auch nicht mit Google-Konto angemeldet und kann somit auch nicht auf den Playstore zugreifen.Vielleicht war das sein Glück.

    Das andere GS170 hat es erwischt. Nun habe ich Dateien und Apps verglichen und etliche"böse" Ordner und Dateien gelöscht: .android .MLAndroid .OPAndroid .RTAndroid .rtmark idlepub und einen Schlüssel in Android…data…ganz oben.
    Auch Apps gelöscht: gem smart Tayase Xiaoan.

    Es kommt alles bald wieder.
    Nach mehrmaligen Versuchen konnte ich feststellen, dass die Ordner so lange gelöscht blieben, bis ich die Einstellungen starte, dann sind sie in Sekunden alle wieder da.
    Ich bin kein Profi, aber vielleicht kann jemand etwas mit dieser Info anfangen.
    Auch, dass die China-Datei im "guten" GS170 mit 0kB Speicher belegt ist… und im "schlechten" GS170 mit 8kB.

  57. Sven sagt:

    Oh Trotz ADB wohl zu früh gefreut, auf allen Geräten desweiteren komische Apps.
    Auch die com.yhn4621.ujm0317 + andere.
    Der Unterschied manche erkennt jetzt der Google Playdienst / Vierenscanner und werden dann sofort geblockt.
    Die komische Update.. ist aber nicht bzw. einmal im Hintergrund wieder aufgetaucht (konnte Diese ohne sichtbar zu sein trotzdem mit ADB löschen).
    WhatsApp scheint aber wohl trotzdem zu laufen, eventuell Update.

    Glaube ohne Gigaset kommt man hier nicht wirklich weiter man hat leider derzeitig Sondermüll.

    An Feiertagen gibt so etwas gute Laune, mein Bedarf ist gedeckt.

    Mfg

  58. Matthias sagt:

    Was mir gerade noch auffällt — wenn ich die Einstellungen öffne, sehe ich beim Punkt "Apps" den Hinweis: "76 Apps installiert". Gestern stand da mal 70 oder 72 und außer MalwareBytes habe ich da nichts neues installiert. Wenn ich mir dann die Liste der Apps ansehe, finde ich dort nur 71 Apps. Für mich sieht das so aus, als ob da 5 Apps vor mir versteckt werden. Wie komme ich daran? Über "adb shell pm list packages -f " bekomme ich ca. 180 Pakete aufgelistet. Kann ich da irgendwie erkennen, was da nicht hingehört? Oder kann diese Liste auch gefiltert sein?

    • Thorge sagt:

      Du wirst ADB ja wahrscheinlich über cmd geöffnet habe. Mit Strg + F kannst du die Suchfunktion öffnen und nach Apps suchen. In den Kommentaren hier stehen ja haufenweise Apps, die bei vielen installiert wurden. Stand jetzt wird da wohl nur suchen, finden, deaktivieren helfen. Ich hoffe natürlich auf eine schnelle Lösung seitens Gigaset. Bin mit meinem Latein mittlerweile auch am Ende.
      Bei mir ist die meiste Zeit des Tages nun der Flugmodus aktiviert. So kann man sich wenigstens sicher sein, dass im Hintergrund nichts heruntergeladen werden kann..

  59. Barbara sagt:

    Ein Held der Stunde hat heute auf Youtube eine Schritt-für-Schritt-Anleitung veröffentlicht, wie man die Gigaset-Malware mit Hilfe von ADB/Linux löschen kann:
    https://www.youtube.com/watch?v=e9V2WIi_hJg
    Vielleicht hilft das dem einen oder der anderen!

    • Daniel R. sagt:

      Habe die Anleitung ausgeführt.
      Die Hauptproblem-APP ist nun weg.
      Bin gespannt…

      Der Chrome-Browser stürzt nun immer ab bzw. es lässt sich keine Seite mehr aufrufen.

      • Bolko sagt:

        Chrome, Chromium, Firefox, Opera, Vivaldi alle deinstallieren, und Chromium oder FIrefox neu installieren.
        Erneut testen.

        • Daniel R. sagt:

          Ja, nach der Deinstallation und der Reaktivierung funktioniert es jetzt.
          Aber Google-Play macht noch Probleme – es lädt nicht bzw. es erscheint nur ein schwarzer Bildschirm (die Updates zuvor haben noch funktioniert – ich hatte auch einen anderen Virenscanner installiert).

          Auch erhalte ich nach dem Neustart die Meldung, dass "Google" nicht reagiert und ob die APP beendet werden soll?

          Außerdem hat sich ich kurz nach dem ersten Start nach den Deinstallationen wieder eine Malware installieren wollen. – ich bin mir daher nicht sicher, ob das Problem damit gelöst ist (ggf. hängt das auch mit dem Playstore zusammen).

    • Günter Born sagt:

      Lies meinen am Artikelende verlinkten letzten Beitrag, was man tun sollte und vergesst den "Held der Stunde"! Das ist imho alles balancieren in 200 Meter Höhe am Abgrund ohne Sicherungsseil. Die Geräte sind kompromittiert!

  60. Bolko sagt:

    Gigaset-Hack-Fix [20210401]

    Flugmodus einschalten oder SIM-Karte entfernen

    System-Cache löschen

    alle Browser-Caches löschen (Chrome, Chromium, Firefox, Opera, Vivaldi, Browser etc)

    alle Browser-Startseiten löschen (Chrome, Chromium, Firefox, Opera, Vivaldi, Browser etc)

    Entwickleroptionen einschalten

    USB-Debugging einschalten

    Smartphone mit USB-Kabel mit PC verbinden

    Linux starten (oder Windows, aber dann ist eventuell die richtige ADB-Version wichtig)

    Konsole öffnen (admin-Rechte)

    adb installieren
    für debian oder ubuntu:
    sudo apt-get install adb

    alle installierten Pakete auflisten:
    adb shell pm list packages -f

    schädliche Pakete entfernen:
    adb shell pm uninstall -k –user 0 com.redstone.ota.ui
    adb shell pm uninstall -k –user 0 com.swfp.factory
    adb shell pm uninstall -k –user 0 com.wagd.diggoods.upa
    adb shell pm uninstall -k –user 0 com.wagd.easenf
    adb shell pm uninstall -k –user 0 com.wagd.smarter
    adb shell pm uninstall -k –user 0 com.wind.applock
    adb shell pm uninstall -k –user 0 com.wind.emode
    adb shell pm uninstall -k –user 0 com.wind.windruntimetest
    adb shell pm uninstall -k –user 0 com.baidu.map.location

    Smartphone von USB trennen

    Smartphone neustarten

    Flugmodus einschalten

    Virenscanner starten (Malwarebytes, AVAST, Kaspersky etc), Full Scan und alle gefundenen Schädlinge löschen

    Smartphone neustarten

    Flugmodus ausschalten

    Smartphone ausprobieren, ob es wieder funktioniert.

    Daten sichern (Backup, Fotos, Kontakte etc)

    P.S.
    Ab Android 8 sollte man die meisten System-Apps in den in den Einstellungen (Hamburger-Menu) deaktivieren können, Apps , alle(System Apps) anzeigen, Schädling antippen, beenden erzwingen, deaktiviren, Cache löschen

    P.P.S.
    Alternative 1:
    am Besten neue saubere Firmware flaschen, um sicher zu gehen, dass keine Schädlinge in der Recovery-Partition installiert sind.
    Factory-Reset (Wekseinstellungen).
    Backup zurück kopieren.

    Alternative 2:
    Smartphone bei Gigaset reklamieren und um fabrikneuen Ersatz oder um Kaufpreiserstattung bitten.

    • Bolko sagt:

      weitere apps zum löschen:
      update.apk
      smart
      xiaoan
      gem
      com.yhn4621.ujm0317

      • Bolko sagt:

        vorläufige Liste derpotentiell schädlichen Apps:

        com.redstone.ota.ui [System-Update-App]
        com.baidu.map.location ["网络位置" = "Network location"]
        com.swfp.factory
        com.wagd.diggoods.upa
        com.wagd.easenf
        com.wagd.smarter ("smart")
        com.wind.applock
        com.wind.emode
        com.wind.windruntimetest
        com.wagd.xiaoan ("xiaoan")
        com.yileiya.ayase ("Tayase")
        com.yhn4621.ujm0317
        update.apk
        gem
        com.dolphinstudio.taiko [Spiel als Tarnung "Rhythm Master"]
        com.dolphinstudio.hook [Spiel als Tarnung "Demolition Crew"]
        com.relax.rain [Spiel Spiel als Tarnung "Relax Music"]

        • Günter Born sagt:

          Die vielen Nachträge zeigen doch schon, wie komplex das Ganze ist. Ich mag die Feldforschung nicht abwürgen und postet gerne euche Erkenntnisse.

          Für alle Nutzer von Gigaset Android-Geräten empfehle ich das Stillegen – siehe letzter verlinkter Artikel am Beitragsende. Alles andere ist beim derzeitigen Kenntnisstand Harakiri. Die befallenen Geräte sind kompromittiert – und bei nicht befallenen Geräten weiß imho niemand, ob die sicher sind oder ob die Infektion noch kommt.

        • Bolko sagt:

          weitere Ergänzungen:

          idle.miner.*
          com.adups.fota
          Agent.CHI

          AppSettings

          Ducky (Spiel)
          Happy Jump (Spiel)
          Stack (Spiel)
          Color
          Happy Stack (Spiel)

    • Volko sagt:

      Vielen Dank für die Auflistung!

      Allerdings bin ich mir betreffend "com.baidu.map.location" nicht sicher, ob die App tatsächlich regulär auf Gigaset Smartphones vorhanden ist.

    • Rob sagt:

      Zitat
      >>>
      Alternative 2:
      Smartphone bei Gigaset reklamieren und um fabrikneuen Ersatz oder um Kaufpreiserstattung bitten.
      <<<

      Und genau das werde ich machen!

      • Anonym sagt:

        Dito hier. Ich werde Dienstag direkt den Support anrufen. Eines der betroffenen Smartphones ist auch noch innerhalb der Gewährleistungsfrist.

  61. Volko sagt:

    Zwecks besserer Übersichtlichkeit fasse hier einmal den aktuellen Stand kurz zusammen und bitte ggf. um Ergänzungen.

    – das Problem tritt unabhängig vom Telefonanbieter und auch ohne eingesetzte SIM-Karte auf

    – Zwangsweises Beenden der Update-App ist auch ohne Neustart nicht dauerhaft, die App wird nach einiger Zeit auf unbekannte Weise wieder aktiviert!!!

    – die Deaktivierung oder wahlweise Deinstallation der Update-App "com.redstone.ota.ui" mittels adb, welche in meinem Fall seither auf beiden betroffenen GS180 einen erneuten Malware-Befall verhindert hat, scheint mindestens vereinzelt die Problematik nicht dauerhaft zu beseitigen; Sven (2x GS160 + GS170), Blacky (GS170), Matthias (GS170)

    Für mich lässt das nur den Rückschluss zu, dass es in diesen Fällen noch mindestens einen weiteren kompromittierten Hintergrundprozess geben muss, welcher offensichtlich teilweise Malware mittels des PlayStore auf das Smartphone lädt; dafür sprechen m.E. die entsprechenden Warnmeldungen von PlayProtect.

    – Merkwürdig ist zudem, dass von den vier bei uns in der Familie in Betrieb befindlichen GS180 nur zwei von dem Malware-Befall betroffen waren, wie auch bei Blacky nur ein GS170, nicht aber ein GS370 befallen wurde.

    • Sven sagt:

      Vielleicht hat das GS370 ja schon eine höhere Android Version + aktuelle Sicherheitspatch was beim GS160 + GS170 leider schlampig vernachläßigt wurde ?
      Völlig unklar was für ein Prozess ggf noch läuft, finde einfach nichts.
      Ferner bringt wohl eine kurze Abschaltung des Wlan/Sim Datendienst wohl nichts, hatte das natürlich probiert.
      Scheint auch Nachts ruhig zu sein und kommt am Tage (MESZ) dann wieder, jedenfalls bei mir.

      Mfg

      Mfg

  62. Werner Schwarzmann sagt:

    Auf meinem GS3 (Android 10) ist der "Update virus"" bis heute nicht aufgetreten.
    Wohl aber bei drei Freunden, wird z.Bsp von Malwarebytes als "Android/Trojan.HiddenAds.ACI" erkannt, kann aber nicht entfernt werden,weil als
    Systemanwendung getarnt.D.h. nach Rücksetzen auf Werkseinstellung kommt der Virus wieder. Für "Technische Freaks" hier die Infos
    .

    • Günter Born sagt:

      Den Zimperium-Beitrag hatte ich mal gesehen – ich habe Zweifel, dass er das fängt, was hier passiert (dort war die "Installation aus einem 3Party Store" als Infektionsursache thematisiert – beim Gigaset konnte ich da noch nichts dergleichen festmachen).

  63. Jeff sagt:

    Guten Tag,
    ich besitze das Gigaset GS170 und bei mir treten ähnliche Symptome auf.
    Klar ist: Es handelt sich um Maleware. Ich würde sie sogar genauer kategorisieren. Einmal als Adware und ggf. als Spyware (bin mir aber nicht sicher).
    Ich habe die Infektion mit Maleware wie folgt erkannt:
    1. Unbefugtes öffnen von Chrometabs, ohne dass ich etwas gemacht habe.
    Hierbei handelt es sich um die Adware, welche die Ursprungsquelle bzw. den Herausgeber der Maleware über ein Spam von Werbung finanziert.
    2. Die Apps Xiaoan, Smart und Gem. Diese Apps habe ich vor 4 Tagen einfach in meiner Appliste gefunden. Ich habe sich NICHT selber installiert. Meiner Meinung nach handelt es sich hier um Spyware. Angaben ohne Gewähr.

    Ich besitze zwei Antivieren-Programme:
    1. Sophos Intercept X for Mobile
    https://play.google.com/store/apps/details?id=com.sophos.smsec

    2. Avast Antivirus 2021/ Kostenloser Virenschutz
    https://play.google.com/store/apps/details?id=com.avast.android.mobilesecurity

    Beide Programme haben einen guten Dienst geleistet und haben zumindest die drei oben genannten Apps erfolgreich gefunden und "bekämpft".
    Hier ist der Knackpunkt. Denn Sophos X hat mir eine Scan Analyse zu den drei Apps Smart, Gem und Xiaoan gegeben. Somit wurden mir auch die Appberechtigungen angezeigt, die man normaler Weiße nicht sehen kann. Es stand folgendes drinne:
    1. Die Apps haben Zugriff auf die Telefonnummer und können Anrufe mit Abhören -> mir haben zeitweise irgendwelche zufälligen Nummern geschrieben und ich wurde auf WhatsApp gebannt/blockiert.
    2. Zudem können die Apps auf die WLAN- Verbindung zugreifen -> Überwachung des Datenverkehrs und auch das Trennen der WLAN- Verbindung vom infizierten Gerät aus (dem Handy (ist mir gestern ca. 5 mal passiert))
    3. Hier bin ich mi nicht ganz sicher. Ich meine, dass die Apps auch die Berechtigung hatten weitere Dateien zu downloaden.

    Das sollten soweit die "schlimmsten" Aspekte sein.

    Weitere Maleware folgen, die bei mir aufgetreten sind:
    1. Es werden dauerhaft Apps geschlossen. Von sämtlichen Google-Apps über Discord und Whatsapp bis zu Instagram.
    2. Eine deutlich erhöhte CPU- und RAM-Leistung. Meine RAM-Leistung beträgt bei einer Speicherkapazität von 8/10 GB um die 1,3/1,8 GB. Nach dem Zurücksetzten meines Handys habe ich den Großteil der Daten gelöscht. Mein Speicher beträgt zur Zeit ca. 3 GB. Meine RAM-Leistung hingegen 1,6 GB. Also gute 80-90%. Ich habe relativ wenige Apps, die von meinem RAM gebrauch machen. Ich schließe also darauf, dass die Maleware den Arbeitsspeicher stark beansprucht.
    3. Eine erhöte Akkunutzung bzw. erhöhter Akkuverlust. Verbunden mit schlechtem Aufladen des Handys.
    4. Es wurden weitere Apps aus dem sicheren GooglePlayStore heruntergeladen. Benutzer dieser Apps mit ähnlichen Malewareproblemen haben die GooglePlayStore-Apps als Maleware-Installation in den Rezensionen markiert.
    5. Hier bin ich mir unsicher. Ggf. Abo-Fallen oder Zugriff auf das Handy-Guthaben durch Maleware-Apps wie Smart, Gem, Xiaoan, etc.. Sicherheitshalber habe ich kein Guthaben aufgeladen. Ich möchte ungern Geld spenden :).
    6. Abschaltung des Gerätes. Dies ist mir mal mitten in der Nacht passiert. Am Morgen darauf musste ich meine SIM-Karte entsperren, als wäre mein Handy aus gewesen.
    Genauere Details kann ich nicht sagen, denn ich habe geschlafen.

    Dies ist soweit alles was mir widerfahren ist. Ich habe nun die vorinstallierte Systemapp ,,Update" beendet (erzwungen). Zudem habe ich nochmal überprüft, dass die Option ,,Unbekannte Herkunft" (Installation von Apps aus unbekannten Quellen zulassen) aus ist.

    Weiteres kann ich nicht sagen. Bitte nehmen Sie diesen Kommentar nicht allzu ernst. Ich bin KEIN Computergenie oder ähnliches, also bitte entschuldigen Sie, wenn ich fachlich falsch Argumentiert oder Begründet haben sollte.

    In diesem Sinne Ciau Kakao

    LG

  64. Frigru sagt:

    Auf meinem GS170 habe ich seit einigen Tagen ebenfalls die geschilderten Probleme. Die Update-App habe ich nach der Anleitung per ADB deaktiviert. Nachdem aber trotzdem gestern wieder "Tayase" aufgetaucht und von Bitdefender gefunden wurde, habe ich den Flugmodus während der letzten Nacht aktiviert. Außerdem habe ich mit der Firewall Netguard (kostenlose Version) allen Apps den Internetzugriff verwehrt. Trotzdem hat Netguard protokolliert, dass die deaktivierte Update-App mehrfache (zum Glück erfolglose) Zugriffsversuche ins Internet unternommen hat. Hat dafür jemand eine Erklärung oder ähnliche Erfahrung gemacht? Sollte man die Update-App doch deinstallieren? Wie kriege ich sie dann wieder aufs GS170? Fragen über Fragen. Übrigens vielen Dank an all die unterstützenden User!

  65. Werner Schwarzmann sagt:

    Bei meinen drei Bekannten mit der Infektion war davor eine SMS mit link, vermutlich die Infektionsquelle…

  66. AE sagt:

    Ich habe ein G370 plus (Android 7) und genau die beschriebenen Probleme, inkl. Whatsapp Sperre.
    Nach Zurücksetzen auf Werkseinstellung und ohne SIM oder irgendwelchen Daten auf dem Handy kam die Malware wieder.

    Awast hat die Gigaset Update App als Malware angezeigt.

    Nach Update auf Android 8 und der Update Version von Dezember 2020 wurde die Update App von Awast nicht mehr benannt und die Malware kam bisher nicht wieder.
    Das Handy ist jetzt aber furchtbar langsam.
    Und ich habe noch folgende Apps aus der oben genannten Liste:
    com.baidu.map.location [„网络位置" = „Network location"]
    com.wind.emode
    wind.windruntimetest (ohne com.)
    Bei den letzten beiden Apps steht Datennutzung seit 31.12.2014 0,92 GB (ich hab keine technischen Kenntnisse zu Apps, aber wie kann das sein, wenn das Handy vor zwei Tagen zurückgesetzt wurde)
    Von Apps mit diesem Datum habe ich noch ein paar mehr drauf…

    • Bolko sagt:

      "Von Apps mit diesem Datum habe ich noch ein paar mehr drauf…"

      Bitte mal die Namen dieser Apps mit diesem Datum auflisten.

      • AE sagt:

        Hab jetzt einmal alle Apps durchgesehen. Es sind noch mehr als gedacht.
        Folgende Apps sind mit Datennutzung seit 31.12.2014 und alle 0,92 GB:

        Android Einrichtung
        Android System
        Anrufverwaltung
        BT Tool (Logo ähnlich der Bluetooth App)
        com.android.wallpaperbackup
        com.mediatek
        com.mediatek.batterywarning
        com.mediatek.callrecorder
        DRM-geschützter Content-Speicher
        Eingabegeräte
        Einstellungen
        Einstellungsspeicher
        GF Manager (Logo ähnlich dem Fingerprint)
        Google (33,77 MB)
        Kombinierte Standortbest.
        LPPe Service
        MDMConfig
        Messages (hier 14,6 MB)
        MPTest
        Mtk Nlp
        MTK NLP Service
        MTK Thermal Manager
        Schlüsselbund
        SimProcessor

        Es gibt einige Apps mit jeweils ähnlichem Namen bei denen Datennutzung seit 2. April (Reset Datum) steht oder aber "keine Daten genutzt" z.B.:
        com.mediatek.ims.ImsApp
        com.mediatek.wfo.impl.WfoApp
        Bluetooth
        etc.

  67. AE sagt:

    Ich wurde auch von Whatsapp gesperrt. Weiß jemand, was die Malware in Whatsapp gemacht hat?
    Kann es sein, dass Kontakte "von mir" komische Nachrichten bekommen haben?

    • HFD sagt:

      Smartphone hier GS170.
      Auf jeden Fall hat die Malware in WhatsApp geschrieben. Ich wurde schon zweimal in drei Tagen gesperrt und bekam hinterher "Antworten" und Anrufe aus Nigeria, Indien und "Umgebung". Ich habe deshalb WhatsApp auf mein Samsung-Tablet migriert. Meine Kontakte haben bisher noch keine Nachrichten bekommen.
      Mittlerweile erhöht sich die Anzahl der System-Apps. Der Playstore lässt sich nicht mehr starten.
      Ich habe das Gerät erst einmal ausgeschaltet.

  68. Axel sagt:

    Bei mein GS170 habe ich die Update-App mit ADB deaktiviert. Trotzdem wurde Tayase und AppSettings wieder installiert. Jetzt bleibt es aus! Und noch eine merkwürdige Beobachtung aus der Woche bevor der Befall offensichtlich wurde: Wenn ich durch die geöffneten App´s geblättert habe, waren da immer welche dabei, die ich mit Sicherheit nicht geöffnet hatte und auch schon lange nicht mehr genutzt habe. Ist das auch jemandem aufgefallen?

  69. Daniel sagt:

    Ich dachte bis eben, mein Smartphone wäre nicht betroffen. Bis nach einem Neustart plötzlich die Akkuladung innerhalb von 2 Minuten von 25% auf 3% zurückging.
    Jetzt nach dem Neustart taucht com.wind.emode in den Apps auf.

  70. Kukkatto sagt:

    Auch ich bin betroffen – und hatte dazu einen Thread auf Android-Hilfe.de erstellt, noch bevor dieser hier von Google gefunden worden war …

    https://www.android-hilfe.de/forum/gigaset-allgemein.2916/tayase-malware-auf-gigaset-smartphones.974787.html

  71. Niklas sagt:

    Hallo zusammen,

    ich berichte mal als einer der betroffenen.

    Wir haben ca. 110 Gigaset GS370 Plus im Einsatz. Alle über ein mdm gesteuert. Dort sind alle Möglichkeiten zur App Installation fernab der von mir freigegeben Apps blockiert.

    Sprich:

    Kein apk sideload
    Kein Playstore
    Keine Installation über irgendeinen Weg.

    Einzig der Update Mechanismus der Firmware ist weiterhin offen gewesen.

    Nun, was soll ich sagen. Alle Geräte weisen eine oder mehrere Apps aus der verlinkten Liste auf.

    Ich hab also jetzt ein bisschen Spaß:

    Geräte aus der Ferne nach Info platt machen,
    ruleset zum deaktivieren des internen Firmware Updater ist bereits ausgerollt.
    Und dann jedes Gerät neu und sauber enrollen…

  72. Matthias K sagt:

    So wie ich das sehe, sind ausschließlich Geräte betroffen, die nicht in Deutschland gefertigt wurden. GS 370, GS 160, GS170, etc.

    Wir haben zuhause fünf Gigaset Handys im Einsatz, zwei mal GS 4, zwei mal GS195 und einmal GS 185. Alle sind laufend via WLAN verbunden, es gibt keinerlei Auffälligkeiten soweit. Alle Modelle bei uns sind Made-in-Germany.

    Da sich jetzt auch Leute beim Englischen Beitrag melden, die irgendwelche China-No-Name-Telefone haben, könnte es vielleicht auch ein Zwischenfall bei irgendeinem chinesischen OEM-Hersteller oder sogar Kompromittierung ab Werk sein.

    Ich finde es jedenfalls sehr auffällig, dass sich bislang niemand gemeldet hat, der/die eines der Made-in-Germany-Modelle von Gigaset nutzt.

    • Michael G. sagt:

      "Made in Germany" aber was heißt schon?
      Mein GS270 ist dennoch verseucht!
      nicht mehr zu benutzen.
      Whatsap hat mich rausgeschmissen.
      Keine SMS mehr zu empfangen
      Chrome spinnt ….
      Die beschriebenen Symptome treffen fast alle zu.

    • Ilo sagt:

      Leider kann ich mich mit meinem GS270 auch einreihen: Malware seit Freitag, Wird vom Virenscanner erkannt gelöscht und ist dann wieder drauf. Habe keinerlei Social Media, Playstore und Drittanbieter und apk sind deaktiviert und dennoch Befall. GS ausgeschaltet, Simkarte entfernt und altes iPhone reaktiviert…

  73. bp4willi sagt:

    Gs280 made in Germany partiell betroffen.
    …nicht stören modus
    …akku schnell leer
    …langsames laden
    …handy schaltete sich aus
    …zeitweilig "3" in symbolleiste angezeigt
    …kein problem mit chrome und tabs
    …in den systemprozessen viele suspekte apps
    …dort viele apps mit datennutzung xx kb seit 23. Bis 31. Dez 2020. !!!
    … Systemaktualisierung app zweimal vorhanden
    …scheint identisch mit com.adups.fota
    …com.wind.emode
    …com.wind.windruntimetest
    …com.swfp.factory

  74. Anja Drübert sagt:

    Hallo, erstmal herzlichen Dank für die ausführlichen Infos in diesem Blog. Die waren für uns bisher sehr hilfreich. Für mich ist das quasi alles Neuland. Ich bin deshalb sehr dankbar für den Leitfeiden, wie die Nutzer vorgehen sollten.
    Eine Frage habe ich dennoch. Wie ist es mit der SIM-Karte, die wir nun aus dem Gigaset Handy mit der Schadsoftware heraus genommen haben. Kann ich diese SIM-Karte jetzt überhaupt noch in einem anderen Handy nutzen?

    • Günter Born sagt:

      Zu dieser Frage kann ich dir aktuell keine saubere und vor allem sichere Antwort liefern. Ich hoffe, Gigaset kommt mit Details heraus – ich habe jetzt unabhängige Sicherheitsforscher (ESET, ZIMPERIUM etc.) auf das Thema hingewiesen.

  75. M.W. sagt:

    Hmm, das Smartphone meines Vaters(GS195) ist bisher sauber, die Firmware ist aber auch noch von Ende Januar und automatische Updates hatte ich von jeher unterbunden, gerade wegen solchen "Spielereien"…

    Playstore ist jetzt sicherheitshalber komplett deaktiviert (auch wenn der sowieso nicht verwendet wird…). Jetzt heißt es wohl jeden Tag das Smartphone auf Befall prüfen.

    Ugh.

  76. bp4willi sagt:

    die kompromittierten Systemapps scheinen alle 19,93MB groß zu sein.
    Ist jedenfalls ein erstaunliches gemeinsames Merkmal vieler verdächtiger System Apps.

    • Günter Born sagt:

      Kannst Du betroffene Apps an die in Ergänzung 5 genannten Mail-Adressen schicken?

      • bp4willi sagt:

        das will ich gerne versuchen.

        • bp4willi sagt:

          48 apk's verschickt zum Virenscan;
          PS. die apk's haben unterschiedliche, kleinere Dateigrößen; auf dem Gerät werden alle Apps mit gleichen 19,93 MB Größe angezeigt. Die Executables kann ich aber nicht abziehen.
          Möglicherweise, wird der Malware Content in kleine, gleich große Schnipsel aufgeteilt, in den App executables versteckt. Während die "betroffenen" apk's selbst sauber sind/ oder nicht.
          Habe 3 *update* apk's gefunden , und mit zum Virenscan geschickt.
          Hoffe es findet sich was.

    • Bolko sagt:

      Bitte auch mal die Namen dieser Apps mit 19,93 MB auflisten.

      • bp4willi sagt:

        @Bolko
        hier ist die Liste der 51 sehr identisch großen System Apps.
        Besonders seltsam ist auch, dass 2x Systemaktualisierungsapp (mit verschiedenen Icons) vorhanden ist.
        System App Größe
        Call Log Backup/Restore 19,93 MB
        CarrierLoadService 19,93 MB
        com.qti.dpmserviceapp 19,93 MB
        com.qti.qualcomm.datastatusn… 19,93 MB
        com.qti.service.colorservice 19,93 MB
        com.qualcomm.qcrilmsgtunnel 19,94 MB
        com.qualcomm.qti.autoregistr… 19,93 MB
        com.qualcomm.qti.callfeatures… 19,93 MB
        com.qualcomm.qti.ims 19,93 MB
        com.qualcomm.qti.networksett… 19,94 MB
        com.qualcomm.qti.qtisystems… 19,93 MB
        com.qualcomm.qti.simsettings 19,93 MB
        com.qualcomm.qti.telephonys… 19,93 MB
        com.quicinc.cne.CNEService.C… 19,94 MB
        com.wind.emode 19,93 MB
        ConfDialer 19,93 MB
        Conference URI Dialer 19,93 MB
        Content Adaptive Backlight Set… 19,93 MB
        Device Info 19,93 MB
        Download-Manager 19,96 MB
        Downloads 19,93 MB
        Eingabegeräte 19,93 MB
        Einstellungsspeicher 19,94 MB
        Factory Test 19,93 MB
        FidoCryptoService 19,93 MB
        FT Terminal Test 19,93 MB
        Google Backup-Transferdienst 19,93 MB
        Kombinierte Standortbest…. 19,93 MB
        LocationServices 19,93 MB
        Mein Wörterbuch 19,95 MB
        MmsService 19,94 MB
        MPTest 19,93 MB
        MTP-Host 19,96 MB
        org.codeaurora.bluetooth 19,94 MB
        org.codeaurora.btmultisim 19,93 MB
        org.codeaurora.ims 19,93 MB
        PowerOffAlarm 19,94 MB
        QMMI 19,93 MB
        QSensorTest 19,93 MB
        Qualcomm IZat 19,94 MB
        RawDataTest 19,93 MB
        RCSService 19,93 MB
        Schlüsselbund 19,98 MB
        SecureExtAuthSerivce 19,93 MB
        SecureSampleAuthService 19,93 MB
        SIM-Toolkit 19,94 MB
        SimContacts 19,93 MB
        Smart-Divert 19,93 MB
        Speicher für blockierte Nummern 19,98 MB
        SVI Settings 19,93 MB
        Systemaktualisierung ("1") 20,25 MB
        Systemaktualisierung ("2") 1,23 MB
        Wfd Service 19,93 MB

        Ist das etwa nicht suspekt?
        auch wenn auf dem GS280 die com.redstone app nicht drauf ist, aber die com.wind.emode und die com.adups.fota sind drauf; und das Handy zeigt viele der genannten indizien der infizierten modelle ; PS Ich nutze kein Whatsapp und kein Facebook; vielleicht hat die Malware deshalb die wagd Anteile nicht nachgeladen.

  77. Phil sagt:

    Grüß euch,
    Wichtige Info vielleicht:
    Mein neues GX290 ist bisher nicht betroffen. Natürlich habe ich überlegt woran das liegen könnte bei der Suche nach den Antworten zu: "bin ich betroffen?" und "wie kann ich nun mein Gerät weiter verwenden?" Und ja: Ich traue mir das zu, bin IT-Profi seit 15 Jahren (natürlich kann ich auch falsch liegen :P )

    Nun gibt es 4 Alternativen, wieso ich nicht betroffen bin:
    1. Ich hatte die Option "system updates – automatisch downloads zulassen" deaktiviert, somit war das Einfallstor (wenn es das ist) seitens Gigaset Server nicht möglich.
    Anm.: In Kombination mit der Option (unter Entwickleroptionen zu deaktivieren, Standard ist AN) "automatische Systemupdates bei Neustart zulassen" ist es kritisch und äußerst einfach Malware über Verteiler (Eventuell in diesem Falle über einen Hersteller) einzuschleusen.
    2. "Glück", weil diese kompromittierten Updates noch nicht an die GX290er Reihe "gepushed" wurden.
    3. die GX290er Reihe ist komplett ausgenommen, weil es eine komplett neue Modell-Reihe ist (Release erst Mitte März)
    4. Ein ganz anderes Einfallstor liegt vor wovon ich nicht betroffen bin (User-basierend: App installiert / link / mail geöffnet)

    Die andere Frage "wie kann ich mein Gerät nun weiterverwenden?" beantworte ich so:
    WLAN + bluetooth + Mobile Verbindung deaktivieren (nein, die "Buttons" am Phone reichen dazu nicht).
    Mobile Datenverbindung: Deaktiviere ich beim Provider
    WLAN: Entferne alle gespeicherten Zugänge am Device und sperre es auf meinen WLAN Accesspoints (MAC-Adress blacklist)

    Somit ist mein Phone für das wichtigste noch verwendbar bis Gigaset sich um eine Lösung bemüht:
    Erreichbarkeit über Telefon ;)

    Hoffe es hilft.
    LG

  78. Niklas sagt:

    Mir ist noch eine Möglichkeit eingefallen:

    Nicht supply chain, sondern factory chain Kompromittierung.
    Dazu muss ich allerdings noch etwas forschen – leider hab ich – Homeoffice bedingt – gerade kein solches Gerät in den Fingern.

    Ich hab noch eins hier, was seit Monaten aus ist, weil der Besitzer es geschafft hat den Speicher zu verschlüsseln und ich es nicht mal gestartet bekomme. Evtl. kriege ich das hin ;)
    Wenn dort – ohne WLAN u. SIM die Apps auch auftauchen – na dann gute Nacht.

  79. johnny sagt:

    Habe ein GS 290, aktuell nicht betroffen.
    Allerdings habe ich letzte woche ine Pushnachricht bekommen um eine Update zu machen, am Donnerstag glaub ich. Gott sei Dank keine Zeit und WLAN gehabt.
    Da wart ich erstmal ab wie es weiter geht.

    • erpel4u sagt:

      Ich habe auch die Push-Nachricht auf mein GS290 erhalten, und dann auch direkt eingespielt. Bisher habe ich keine Probleme erkannt, das GS290 ist nicht gerootet. Ich bin auf die Reaktion von Gigaset gespannt.

  80. Berti sagt:

    Ich habe unter InternerSpeicher/Android einen Ordner "media0" entdeckt. Darin in einem weiterem Unterordner eine .jar-Datei mit aktuellem Datum. Alles gelöscht, mit Kaspersky und Malwarebyte geprüft – danach war 2 Tage Ruhe!
    Heute in den PlayStore gegangen – schon wieder öffnet sich Browser mit dubiosen Angeboten. Der Ordner "media0" war wieder da. Gelöscht – jetzt gehts wieder. Allerdings ruckelt es etwas. "Es" ist noch da, braucht aber scheinbar den PlayStore zum Nachladen.

  81. Fedi sagt:

    Das GS170 (Vodafone SIM) meines Vaters ist kompromittiert. 2 GS 180 bisher scheinbar nicht. Eines ohne SIM Karte eines mit Vodafone. Das Geräte ohne SIM Karte hat Family Link installiert.

  82. Lars S. sagt:

    Hallo zusammen,

    mein Handy ist seit dem 02.04.21 ebenfalls betroffen.
    Ich habe das Modell Gigaset GS270 plus mit Android 7.0. und AldiTalk (E-Plus)

    Folgendes passiert seit dem bei mir:

    + ständig öffnen sich neue TAPs mit Glücksspielseiten im Firefox-Browser
    + mein Kaspersky Total Security erkennt zwischenzeitlich "Adware" die ich direkt lösche
    + der Akku (5000mAh) entläd sich komplett innerhalb von ca 2 Stunden (hält sonst 3 Tage)
    + das Aufladen dauert wesentlich länger als üblich
    + mein Whatsappkonto wurde gesperrt
    + mein Kasperky Total Security erkennt zwischenzeitlich Viren und Trojaner die oben schon in den Kommentaren aufgelistet wurden (Gem, Xiaoan, Smart, AppSettings, …). Diese lösche ich natürlich sofort.
    + Es hat sich 1x eine App (Spiel o.Ä.) selbstständig installiert
    + sobald das Handy mit dem Internet verbunden ist, läd das Handy die Viren und Trojaner wieder auf das Handy und nach ca 2 Minuten erscheinen im Firefox-Browser wieder neue TAPs mit Glücksspielseiten

    Ich habe zumindest herausgefunden, dass wenn ich alle Viren und Trojaner lösche und an dem Handy vorher Wlan und Mobile Daten deaktiviere, öffnen sich keine TAPs und es werden auch keine Viren mehr installiert. So kann ich zumindest noch "normal" telefonieren. Der Akku entläd sich nicht mehr schneller. Theoretisch verhält sich das Handy dann ganz normal.

    Ich bin euch sehr dankbar über diesen Artikel und die Kommentare, so weiß ich überhaupt über die ganze Sache bescheid.

    Wenn ich das jetzt richtig verstanden habe gibt es hierbei für mich als "Nicht-IT-ler" nur die Möglichkeit das Handy vom Internet getrennt zu halten und zu warten, dass von Gigaset eine Lösung kommt (neues Update etc). Ich verfolge diesen Artikel auch täglich um auf dem Laufenden zu bleiben.

    Vielen Dank!

    • Jörg sagt:

      Hallo Lars,
      bei mir ist die gleiche Situation wie bei dir, aber ich habe eine Steigerung erfahren:
      Ich habe gestern schon mehrere Anfragen über WhatsApp aus Nigeria erhalten warum und wiso ich dort Leute kontaktiere.
      Fazit: es wurden Nutzerdaten abgegriffen und verwendet.
      Bei meinem Telefonanbieter hab ich nachgefragt ob es Unregelmäßigkeiten mit meiner Telefonnummer gibt , Antwort Nein
      Aber ich habe eine Drittanbietersperre einrichten lassen damit nicht über meine Telefonnummer Einkäufe getätigt werden können

  83. Rob sagt:

    Es scheint sich etwas bei Gigaset zu tun.

    Zitat:
    Gigaset äußert sich zum aktuellen Stand

    Wie Günther Born in einem Update auf seiner Website Borns IT- und Windows-Blog berichtet, hat er in der Zwischenzeit ein Telefonat mit der Qualitätssicherung des Herstellers Gigaset führen und ein wenig Licht ins Dunkle bringen können.

    Aktuell sei der folgende Sachstand, nach Untersuchungen durch Gigaset, weitgehend gesichert:

    Es ist nur ein Teil der Geräte vom Malware-Befall betroffen – (Geräte, die über einen bestimmten Update-Server beliefert werden).
    Es war ein Update-Server, der von Gigaset-Geräten zur Aktualisierung benutzt wird, kompromittiert, so dass die betreffenden Geräte durch Malware befallen wurden.
    Dieser Kompromittierung des Update-Servers ist nach aktuellem Kenntnisstand wohl behoben, so das keine Malware mehr neu installiert wird.

    Günther Born, Borns IT- und Windows-Blog

    Nutzer, die ausschließen können, dass ihre Smartphones betroffen sind, können diese unter Vorbehalt wieder benutzen. Auch deute sich an, dass der Hersteller betroffene Smartphones demnächst per Update säubern kann, so Born weiter.
    Untersuchungen stehen kurz vor dem Abschluss

    Gigaset wolle sich morgen am 7. April noch einmal außführlich zu dem Sachverhält äußern, sobald die Untersuchungen abgeschlossen seien. In der Zwischenzeit haben auch das BSI und der CERT-BUND weitere Maßnahmen ergriffen und untersuchen den Malware-Angriff im Detail.

    Wer Samples kompromittierter System-Apps hat, möge die bitte an folgende Mail-Adresse schicken: samples@eset.com – bitte CC an aryeh.goretsky@eset.com. Aryeh Goretsky hat mir signalisiert, dass jemand aus deren Team CERT-BUND und ggf. auch CH kontaktiert, sobald genaueres vorliegt.

    https://www.computerbase.de/2021-04/malware-angriff-gigaset-smartphones-mit-schadsoftware-infiziert/

  84. Jürgen Wittig sagt:

    Hallo, in die Runde,
    nach den Problemen seit 04.04. mit meinem GS 160 (WhatsApp-Konto gesperrt) geht nun gar nichts mehr. Akku war leer und nach dem Aufladen bleibt das Ding nach dem erschienen Schriftzug "GIGASET" stehen und läßt sich nicht mehr ausschalten oder neu starten.
    Gibt es denn schon neue Hinweise von Gigaset ??
    Oder wäre es besser, gleich ein neues Smartphone zu erwerben?

    Jürgen

  85. Berti sagt:

    Korrektur: der Ordner "Media0" liegt direkt unter "InternergemeinsamerSpeicher".
    Ergänzung: unter InternergemeinsamerSpeicher/android/data taucht ein Ordner auf dessen Name aus über 30 vermischten Großbuchstaben und Zahlen besteht. Darin 2 Dateien mit Namen der gleichen Art. Den ganzen Ordner habe ich gelöscht.

  86. Gernot Kristof sagt:

    Heute ist der 7. April – ca 9:009 Uhr Ortszeit – Leider habe ich heute schon wieder eine Whatsapp – Sperre, sowie eine Virus Warnung auf meinem Gigaset GS100 vorgefunden.
    Es ist also falsch, dass der Fehler seitens Gigaset behoben wurde!
    Das Gerät war die ganze Zeit im Internet und hat aber leider nicht wie zuvor angesprochen – sich selbst aktualisiert.

    Ich habe nun als Lösung die Mobilfunk-Karte entfernt und mein altes Handy wieder in Betrieb genommen. Es ist eine Schande, dass nach dem 2. offiziellen Arbeitstag und insgesamt mehr als 3 Tage der kompromittierte Server immer noch nicht vom Netz genommen wurde und die Geräte frisch fröhlich aufs neue infiziert werden. Toll – nie mehr kaufe ich ein Gigaset Handy !!!

  87. Klaus Dieter Marzian sagt:

    Hallo zusammen.
    Meine Frau und ich waren auch von dem Gigaset Fehler betroffen.(beide Gigaset 170)
    Genau die Fehler, die hier schon von vielen Benutzern beschrieben wurden, incl. Sperrung des WhatsApp Accounts.
    Dumm und ahnungslos wie ich war, habe ich diesen Fehler für beide Smartphones mehrfach bei Whats App gemeldet.
    Innerhalb kürzester Zeit bekam ich vom Service die Antwort, das man meinen Account verifizieren wolle und mir einen Code per SMS schicken wolle. Der kam auch sofort. Den habe ich eingetragen mit meiner E-Mail Adresse.
    Sofort ploppte mein Whats App auf und läuft seitdem einwandfrei. Bei meiner Frau fehlen zwar viele Kontakte, aber mein Account ist komplett. Hab sogar einen neuen aus Portugal dazubekommen, den ich gar nicht kenne und gelöscht habe.
    Die Frage ist jetzt natürlich: Kommte der Fehler wirklich von Gigaset, oder hat da noch jemand seine Finger drin?
    Vielleicht kann mein Beitrag helfen. Bei mir läufts jedenfalls

  88. Peter Nothman sagt:

    Auf meinem GS270 gab es gersten ein Firmware-Update.
    "smart" und "xiaoan" tauchen jetzt zwar nicht mehr in der Liste der installierten Apps auf, das Smartphone macht aber noch immer erhebliche Probleme, so wird nach einer gewissen Zeit der "nicht stören"-Modus einfach aktiviert, das Gerät wird schnell heiß, so wie wenn man es bei eingeschaltetem Mobilfunk-Betrieb in eine Jackentasche steckt, obwohl die Mobilfunkfunktion abgeschaltet ist, und Avast liefert einen wiederkehrenden Alarm hinsichtlich einer App, die erhöhte Mobilfunkkosten erzeugen könne, die sich aber bedauerlicherweise nicht entfernen lässt (der entsprechende Warnhinweis poppt immer wieder auf).
    Ein vor wenigen Monaten erworbenes A60 des gleichen Herstellers, welches ich ausschließlich am WLAN ohne SIM-Karte nutze, weist indessen keine derartigen Probleme auf.

    Zweimal habe ich nun schon den Support von Gigaset angeschrieben, aber außer einer automatisch generierten Empfangsbestätigung meines Tickets gab es keinerlei Reaktion.
    Ich empfinde ein derartiges Verhalten offen gestanden als eine Unverschämtheit.
    Wenn ich ein deutsches Smartphone erwerbe, erwarte ich neben einer guten Qualität einen funktionierenden Support, ansonsten kann ich mir auch ein Billig-Handy aus China zulegen.
    Bisher lief das GS270, das ich vor fast einem Jahr im Rahmen einer Sonderangebotsaktion für 80€ bei Kaufland erworben habe, top, aber momentan ist es mir zu riskant, es auch nur in Betrieb zu nehmen.

    Auf YouTube fand ich ein Video, das erklärt, wie sich die Malware entfernen lässt, doch leider funktioniert dies nur mit Linux-Rechnern.
    Es wäre klasse, wenn jemand ein entsprechendes Video für Windows erstellen könnte, da wir vom Hersteller offenbar im Stich gelassen werden.

    Nie wieder Gigaset!

    • Günter Born sagt:

      Vergiss deine Youtube-Geschichte – entweder kriegt Gigaset das per Auto-Update auf die Reihe, oder Du gibst dein Gerät zum Elektro-Schrott. Die technische Analyse mit den Malwarebytes-Informationen ist ja inzwischen veröffentlicht.

  89. Iche sagt:

    Hallo, ich war ja froh überhaupt eine Information zu dem sonderbaren Verhalten meines Gs370 im Netz finden. Danke für die ausführlichen Informationen.
    Jetzt habe ich folgende Anwort vom Gigaset-Services erhalten. Super!

    Sehr geehrter Kunde, sehr geehrte Kundin,

    herzlichen Dank für Ihre Geduld!

    Wir bedauern sehr, dass Sie Gigaset GS370 nicht störungsfrei verwenden können.

    Im Rahmen von routinemäßigen Kontrollanalysen ist uns aufgefallen, dass bei einigen älteren Smartphones Probleme mit Schadsoftware aufgetreten sind. Diese Erkenntnis wurde auch durch Anfragen von einzelnen Kunden bestätigt.
     
    Wir nehmen das Thema sehr ernst und arbeiten intensiv an einer kurzfristigen Lösung für die betroffenen Nutzer.
    Dabei arbeiten wir eng mit IT-Forensikern und den zuständigen Behörden zusammen. Wir werden die betroffenen Nutzer schnellstmöglich informieren und Informationen zur Lösung des Problems bereitstellen.
    Wir gehen davon aus, dass wir binnen 48 Stunden weitere Erkenntnisse, bzw. eine Lösung des Sachverhalts anbieten können.
     
    Wichtig ist an dieser Stelle auch zu erwähnen, dass nach aktuellem Kenntnisstand der Vorfall nur ältere Geräte betrifft.
    Wir gehen derzeit davon aus, dass die Geräte GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 und GS4 nicht betroffen sind.

    Wir bedanken uns für Ihr Verständnis und wünschen einen angenehmen Tag!

    Mit freundlichen Grüßen

  90. Markus sagt:

    Was ich mich frage:
    Wie ist die Schadsoftware auf die Smartphones gekommen?
    Wurde ein Update angezeigt das dann alle installiert haben?
    Oder hat die Update-App das 'Update' selbst angestoßen und installiert?
    Bei meinem (nicht befallenen) GS370 kommt (bzw kam) bei einem Systemupdate immer eine Meldung. Ich musste explizit auf "runterladen" klicken und dann noch einmal bestätigen, dass ich das heruntergeladene Update installieren möchte.
    Automatisch ist da nie was passiert.

    • Günter Born sagt:

      Habe zwei deiner drei identischen Kommentare gelöscht – Erstkommentare und Posts mit Links werden zur SPAM-Abwehr grundsätzlich moderiert – daher sind die nicht angezeigt worden.

    • Jules sagt:

      Bei meinem Gerät gab es seit über einem Jahr kein Systemupdate mehr. Das gleiche gilt übrigens für den Sicherheits-Patch. Demnach kam die malware NICHT über ein Update, sondern wie es scheint über eine Update App. Aber wie auch einigen Beiträgen zu entnehmen ist, scheint der Play Store damit auch etwas zu tun zu haben. Als ich in die Liste der installierten Apps schaute, hieß z.B. die "MyCar"-App auf einmal "Store Park". Allerdings habe ich die ewig nicht benutzt, also wäre mir nicht aufgefallen, on und seit wann die ihren Namen geändert haben. Eventuell haben sich also die Schädlinge in schon vorhandene Apps eingenistet. Und wer weiß seit wann. Und wer weiß was dort getan.

    • Lars S. sagt:

      Hallo Markus,

      in meinem Fall (siehe Post vom 6. April 2021 um 22:15 ) wurde die Schadsoftware von alleine installiert.

      Es gab definitiv keine Frage ob etwas heruntergeladen werden oder installiert werden soll. Von einem Update habe ich ganz sicher nichts gelesen.
      Es hat sich selbstständig installiert und war dann plötzlich da.

      Vielleicht hilft dir das weiter.

      Lars S.

  91. Migrant sagt:

    Generell ist es so das die Gigaset-Teile im türkisch Sprachigen Raum
    als Kaan N Serie vermarket werden.
    Und dort ist das Thema seit August 2020 bekannt.
    Ihr braucht ja nur auf YT nach Kaan N2 Virus suchen.

    Also Gigaset sollte jetzt mal tacheles reden, die haben doch ihren Laden
    nicht mehr im Griff.
    Kann ja nicht sein das die den Schund erst in der Türkei ausliefern,
    und jetzt Monate später im Dach Raum !!!!!!!!!!!!!

  92. Berti sagt:

    Mittlerweile gibt es auf der Homepage von GIGASET unter "Hilfe" einen Link zu Informationen zur Malware und deren Beseitigung.
    Der Text, dass "…die in der Vergangenheit seitens Gigaset zur Verfügung gestellten Software-Updates nutzerseitig nicht ausgeführt…" wurden, ist frech, weil nicht wahr!
    Die in der Info aufgeführte Malware kann ich bei mir nicht finden, das Gerät spinnt trotzdem noch. Es, wie vorgeschlagen, bis zu 8 Stunden am Internet(WLAN) zu lassen, ist wie russisches Roulette. Eh die GIGASET-Helferlein mein Gerät gesäubert haben, ist es sicher vollständig mit Malware zugemüllt und meine Daten bis ins tiefste China gestreut.

  93. Rob sagt:

    Nachdem ich jetzt mein GS370+ mehr als 10 Stunden über den Gastzugang meines Netzwerkes angeschlossen hatte wurde leider keines der Apps mit chinesischen Schriftzeichen entfernt. Diese lassen sich über den normalen Deinstallationsvorgang nicht entfernen sondern nur deaktivieren.
    Die von Gigaset angebotenen Lösungen um die befallenen Geräte in einen Zustand vor dem Malware-Bust zu versetzen sind anscheinend nicht genug getestet und deshalb bis jetzt untauglich.
    Es bleibt also wahrscheinlich tatsächlich nichts anderes übrig als das Gerät komplett auf Werkseinstellungen zurückzusetzen.

    Ich werde das aber nicht über das Menü "Einstellungen/Sichern & zurücksetzen/Auf Werkszustand zurücksetzen" machen sondern über den Recovery-Methode weil da womöglich mehr passiert (ist aber eine reine Vermutung ;-] ):

    1.
    Zunächst schaltet man das Gigaset GS370 aus.

    2.
    Danach drückt und hält man die „Lauter-Taste" und die „Ein/Aus-Taste"
    gleichzeitig für bis zu 5 Sekunden, bis das Android-Zeichen erscheint.

    3.
    Jetzt befindet man sich im Recovery-Modus, wo verschiedenen Optionen zur Auswahl stehen. Die Navigation erfolgt über die „Lauter" und „Leiser"-Taste, mit der „Ein/Aus"-Taste wird die jeweilige Option bestätigt.

    4.
    Im Recovery-Modus navigiert man zu „wipe data/factory reset" und bestätigt die Auswahl mit der „Ein/Aus"-Taste.

    5.
    Anschließend erscheint erneut der Recovery-Modus. Nun wählt man „reboot system now" aus und das Smartphone* wird neu gestartet. Das Gigaset GS370 ist danach zurückgesetzt.

    • Bolko sagt:

      Werkseinstellungen helfen nicht, weil dadurch nur die User-Daten gelöscht werden, aber nicht die schädlichen System-Updates.

      Wenn das so einfach wäre bräuchten wir hier nicht ellenlange Stränge durchzudiskutieren.

      Du bräuchtest saubere Images der Partitionen, aber die bietet GIGASET bisher nicht für manuellen Download an.

      • Jules sagt:

        Da sei die naive Frage erlaubt, warum ein sogenannter Factor Reset das Handy tatsächlich NICHT in den Zustand, den es bei der Auslieferung ab Werk hatte, zurücksetzt. Das hatte ich mir nämlich tatsächlich so gedacht, allein vom Begriff her. Unglaublich!! Was ich hier alles lerne diese Woche…

    • bp4willi sagt:

      @Rob
      ja geht das denn noch bei deinem Gerät? Bei meinem GS280 ist auch der Recovery Mode nicht mehr erreichbar über die Tastenkombination.

      Ich denke, da muß Gigaset selber, im Werk, eine saubere Firmware neu aufspielen.

  94. Sandra Luther sagt:

    So, ich geb´s jetzt auf.
    Mein bisheriges Vertrauen in Gigaset ist eh Geschichte, ich habe mir jetzt -nach meinem GS100- ein anderes Smartphone besorgt.
    Kann ich gefahrlos die Simkarte wechseln oder verseuche ich mir das neue Smartphone dann womöglich gleich mit (wie -ich glaube hier- jemand berichtete)?
    Gibt es da schon Erkenntnisse?
    Danke für die bisherige Hilfe und die damit verbundene Mühe!

  95. Sven sagt:

    So mein eines von 2 Gigaset GS160 + ein GS170 laufen jetzt nach Werkseinstellung zum Test über einen Gastzugang im WLAn.
    Das zweite GS160 ist wieder so verseucht (auch nach ADB Behandlung + aller Maßnahmen), das ich es jetzt lieber ausgeschaltet (auch nach 8 Stunden seit Löschung der komischen Apps) lasse.
    Bei dem anderen GS160 (nach Werkseinstellung) gab es jetzt schon wieder eine komische "Networklocation App" ohne das auch nur irgendetwas gemacht wurde und 8h vorbei sind.
    Das GS170 läuft bis jetzt normal, allerdings losgelöst von Google Account.
    Werde irgendwie den Gedanken nicht los, das der Playstore hier irgendwie mit drinhängt.
    Beobachte weiter.

    Mfg

  96. Holger sagt:

    Hallo an alle Betroffenen.
    Mein Firmenhandy GS 160 ist auch betroffen.Schon 2 mal bei WhatsApp gesperrt und ähnliche Probleme.Im Moment nach allen Schritten der von Gigaset vorgeschlagenen "Lösung" ist keine Schadsoftware mehr erkennbar, aber Handy langsam,Akku schnell alle und G Mail funktioniert nicht mehr (wird immer beendet).Ich traue mich nicht WhatsApp zu reaktivieren,weil immer schlimm sich dort wieder freischalten zu lassen. Auf eine Antwort von Gigaset auf die hier aufgeworfenen Fragen , warte ich immer noch.
    PS: meine Tante hat auch ein GS 160, ist auch betroffen und hier wurde die WhatsApp App komplett vom Handy gelöscht ?? Sind ähnliche Deinstallierungen bekannt ?

    • Günter Born sagt:

      Du hast dir aber schon mal meine Ausführungen in den betreffenden Artikeln durchgelesen? Ich meine die Kombination Firmen-Handy mit WhatsApp (geht wegen DSGVO schon mal gar nicht) und jetzt betreibst Du es nach Malware-Befall? Ich lese hier, dass Firmenadmins die Geräte einsammeln, still legen und eine DSGVO-Meldung an die Datenschutzaufsicht schreiben …

      • Gert sagt:

        Sagen wir mal so… welche Firma hat nicht WA auf dem Handys?

        Die Problematik ist ja jedem bekannt aber daran halten tut sich so ziemlich niemand.
        Wenn ich kein WA drauf habe kann ich nicht vernünftig arbeiten denn die meisten Infos kommen darüber auch von der Geschäftsleitung

      • Holger sagt:

        In unserer kleinen Firma (ca 20 Angestellte) gibt es keinen Firmenadmin, mal sehen wer die Handys dann einsammelt.
        Aber eigentlich hatte ich ja eine Frage, ob jemandem ähnliche Deinstalierungen bekannt sind, denn das ist hier im Blogthema das Hauptproblem (dachte ich).

        • Günter Born sagt:

          Nimm es nicht persönlich – ich habe mich nur gewundert – muss euch aber nicht die DSGVO erklären (hier ist WhatsApp deswegen rausgeflogen und ich kenne Firmen – unter anderem Continental – wo es einen WhatsApp-Bann gab).

          Mit der Deinstallation: Es tauchen inzwischen so viele Winkelzüge auf – was die C&C-Server da den Leuten auf ihre Gigasets schicken, kann keiner mehr überblicken. Gut möglich, dass da was vom Handy deiner Tante gelöscht wurde. Vielleicht hat sie auch in der ersten Aufregung irgendwo was falsch angetippt. Das wird dir – mein Bauchgefühl – vermutlich niemand bestätigen können.

  97. DA sagt:

    10.4. Heute von meiner Mutter 73 Jahre das Handy erhalten, weil angeblich .. das spinnt ..

    Gigaset GS160.

    Avira Scan -> kein Virus

    Browser startet immer mit tooouds.top -> virus

    Whatsapp gesperrt. Nummer lässt sich nicht mehr reaktivieren -> Anfrage WhattsApp läuft

    Deinstallation apps -> keine Wirkung

    Interessant: Daten wurden wohl kompromittiert, da ich eine Nachrticht über Telegram erhielt (das meine Mutter nicht hat und auf dem Gigaset nicht installiert ist). Dachte, oh wie cool und hab mit Hi geantwortet -> Nachricht wurde übermittelt und auch gelesen .. Aber nicht auf dem Gigaset meiner Mutter, die hat gar kein telegram!

    • Gerold sagt:

      Da hat wohl jemand mit der Mobilfunknummer deiner Mutter Telegram installiert und die Freischalt-SMS abgefangen und weitergeleitet.

    • Berti sagt:

      AVIRA (kostenlos) hat bei mir nicht alles gefunden.
      Ich hab zusätzlich Kaspersky und Malwarebytes (beides kostenlos), die melden mehr. Malwarebytes findet von den dreien als einzige die Update-App "com.redstone.ota.ui" als Schadsoftware.

  98. Gerod sagt:

    Ich schreib noch etwas ausführlicher zum Kommentar von DA:
    "Interessant: Daten wurden wohl kompromittiert, da ich eine Nachrticht über Telegram erhielt (das meine Mutter nicht hat und auf dem Gigaset nicht installiert ist). Dachte, oh wie cool und hab mit Hi geantwortet -> Nachricht wurde übermittelt und auch gelesen .. Aber nicht auf dem Gigaset meiner Mutter, die hat gar kein telegram!".

    Bei WhatsApp und Telegram werden die Accounts mit der Mobilfunknummer eingerichtet. DA schreibt er hätte eine Telegram Nachricht von der Mobilfunknummer seiner Mutter erhalten die jedoch gar kein Telegram benutzt.
    Da könnte folgendes passiert sein:

    Die Malware auf eurem Smartphone A übermittelt eure Mobilfunknummer an die Betrüger. Die richten auf einem Smartphone B einen Telegram-Account ein mit eurer abgefischten Mobilfunknummer. Die Freischalt-SMS landet auf eurem Smartphone A, die Malware fängt die SMS ab (und löscht sie eventuell), übermittelt den Freischaltcode an die Betrüger die auf dem Smartphone B den Telegram Account aktivieren.
    Das gleiche gilt auch für WhatsApp.

    Wenn die Malware das tatsächlich draufhat haben die Betroffenen ein grosses Problem. Mit eurer Mobilfunknummer können die Betrüger Accounts bei WhatsApp, Telegram und auch anderen Messengern einrichten und in eurem Namen Nachrichten verschicken und sonstigen Unfug anstellen.

  99. Sven sagt:

    Weiss eigentlich einer, ob Diese Update App "com.redstone.ota.ui" zum Standard gehört ? Bei einem werkseingestellten GS160 ist Diese jetzt wieder in den Entwickleroptionen unter Aktive Dienste am laufen.
    Die restlichen schädlichen Apps sind nach bisher über 24 Stunden aber nicht mehr aufgetaucht.

    • Dat Bundesferkel sagt:

      https://blog.malwarebytes.com/android/2021/04/pre-installed-auto-installer-threat-found-on-android-mobile-devices-in-germany/

      Naja, ich würde zusehen das Ding schnellstmöglich zu entfernen. Weiter unten findest Du eine Anleitung dazu.

      • Sven sagt:

        Ist mir bekannt, jedoch habe ich die Vermutung das diese Standard (Updateserver) ist und die anderen nur damit durch den Server eingeschleust wurden.
        GS160 (vorher mit ADB behandelt) ist ja schon mit Werksreset versehen worden und vom Playstore entfernt.
        Da ich natürlich vorher nie den Bedarf hatte in den Entwicklermodus zu müssen um dort gestartete Apps zu konrollieren, wäre das mal interessant.

        Mfg

        • Dat Bundesferkel sagt:

          Es geht hier um einen Autoloader. Genau das ist das Risiko.

          Willst Du Sicherheit? Entferne ihn. Willst Du demnächst wieder zwangsbeglückt werden? Behalte ihn.

          • Sven sagt:

            Weg kommt die App sicherlicherlich, nur die Frage nach Standard oder nicht wäre interessant (da nach Werkseinstellung wieder da).
            Ferner waren die schädlichen Apps auch nach Behandlung dieser App mit ADB (bin schon länger hier s.o. ) wieder drauf.
            Jetzt mit laufender App nicht mehr.

    • Bolko sagt:

      Ja, diese Update App "com.redstone.ota.ui" gehörte vorher zum Standard.
      Darüber wurde auch die Malware vom Update-Server runtergeladen.

      GIGASET ersetzt den aber aktuell durch "com.adups.fota" und auf neueren Smartphones von GIGASET war auch schon bereits adups statt redstone vorinstalliert gewesen.

      Damit aber die automatische Reparatur funktionieren kann, muss com.redstone.ota.ui aktiv sein.
      Allerdings sollte man die SIM-Karte rausnehmen und Updates bestenfalls nur über WLAN durchführen.
      Noch besser wäre es aber, wenn GIGASET die verseuchten Smartphones einfach durch ein neues sauberes Smartphone ersetzt.
      Falls die das nicht freiwillig machen, dann wird man die wohl auf Schadenersatz verklagen müssen.

      • Sven sagt:

        Danke sehr für die Info.
        Ich lass mal 2 GS160 mit Update App über Wlan Gast (und Kommunikation untereinander blockiert – lässt sich in FritzBox einstellen) und ohne Google Account laufen.
        Mal sehen wann evtl. reagiert wird, mache mir aber leider keine großen Hoffnungen.
        Aber Stock Rom flashen bringt ja dann auch nichts.

        Mfg

  100. Jules sagt:

    Hallo zusammen,
    mir kam gestern Abend noch eine Idee…
    zeitgleich mit den Glücksspiel Seiten habe ich auch immer noch eine 1x TAN als SMS aufs Hand bekommen. Je eine pro geöffnete Seite im Browser. Das automatische Auslesen von Bestätigungscodes hatte ich nicht erlaubt gehabt. Aber vielleicht ist das ja bei anderen passiert und dadurch wurde dann NOCH MEHR Malware aufs Handy geladen?
    Ich wundere mich nämlich die ganze Zeit, warum bei mir im Vergleich zu den Geschichten hier im Blog mein Handy relativ milde Symptome hatte ("NUR" die Websites im Browser) und auch meine Kontakte keine komischen Nachrichten von "mir" bekommen haben.
    Bleibt natürlich das Grundproblem der durch dern Gigaset Server raufgespielten "Erst"-Infizierung.

  101. Berti sagt:

    Hallo,
    das Rücksetzen auf Werkseinstellungen hat scheinbar geholfen, mein GS170 zeigt seit 1 Tag keine Macken mehr. Für das 2. Gerät in der Family will ich mir das, besonders das Rücksichern der persönlichen Daten sparen und habe dort den "Anwendungsinspektor" von UBQSoft installiert, der auch versteckte Anwendungen anzeigt. Wie bei GIGASET im Blog beschrieben, hat der auch die versteckte App "BBQ Browser" gefunden(auf dem rückgesetzten Gerät gibt es sie nicht). Hab sie deinstalliert – mal sehen ob es hilft.

    • Sven sagt:

      Achso im Gigaset Blog sind Sie auch aktiv und beruhigen, könnte es zufällig etwas mit Ihrer Arbeit(sstelle) zu tun haben ?
      Wenn Sie weiter oben lesen, war das Problem massiv und auch durch Löschung/Deaktivierung nicht stoppbar (zumindest für einige Geräte).
      Würde mich sehr freuen als fast nicht betroffener wenigstens etwas zurückhaltener zu sein (bei mir 3 Geräte von heute auf morgen).
      Suchen unter „Sven" könnte helfen.

  102. Adam sagt:

    Hallo,
    lautet Gigaset Support :
    „ Es wurden Maßnahmen getroffen, um infizierte Geräte automatisch von der Schadsoftware zu befreien.
    Dazu müssen die Geräte mit dem Internet verbunden sein (WLAN, WiFi oder mobile Daten). Wir empfehlen zudem, die Geräte an das Ladegerät anzuschließen. Betroffene Geräte sollten binnen 8 Stunden automatisch von der Schadsoftware befreit sein.

    Wie kann ich dieses Reparaturupdate laden oder überprüfen, ob ein Sicherheitspatch richtig angewendet wurde?
    Es gibt keine Updates für mein GS170 Smartphone…
    Meine Info:
    Baseband Version: MOLY.LR9.W1444.MD.LWTG.MP.V110.5.P39,2018/11/15 11:14
    Kernel Version:
    3.18.35+ Fr Dec 7 16:10:53 CST 2018
    Build Number:
    GIG_GS170_S112
    Custom Build Version:
    alps-mp-n0.mp1-V1.02_gr6737.m.65.sz.n_P94

    Danke!

  103. Berti sagt:

    Mein GS170 ist immer noch ohne Macken. D.h. die Entfernung der versteckten App "BBQ Browser" (siehe oben) war erfolgreich!!

    • Sven sagt:

      Vor einer Woche wäre das wohl leider völlig sinnlos gewesen.
      Zumindest hat Gigaset jetzt wohl die "Nachversorgung" gestoppt und endlich den Updateserver bereinigt (am Netz ist der Wohl immer noch – com.redstone.ota.ui).
      Anstatt jetzt mal Sicherheitspatche auszugeben, hofft man jetzt auf eigenständige Bereinigung.
      Es waren jedenfalls meine letzten Gigaset Handys, nur der Festnetzsparte bleib ich Treu.
      Schuster bleib bei deinen Leisten :-).

      Gruss in die Runde

    • Sven sagt:

      Achso im Gigaset Blog sind Sie auch aktiv und beruhigen, könnte es zufällig etwas mit Ihrer Arbeit(sstelle) zu tun haben ?
      Wenn Sie weiter oben lesen, war das Problem massiv und auch durch Löschung/Deaktivierung nicht stoppbar (zumindest für einige Geräte).
      Würde mich sehr freuen als fast nicht betroffener wenigstens etwas zurückhaltener zu sein (bei mir 3 Geräte von heute auf morgen).
      Suchen unter „Sven" könnte helfen.

      Gruss

      • Berti sagt:

        Ich gebe nur Informationen weiter, die bei mir geholfen haben!!! Es steht jedem frei meine Ratschläge selbst zu probieren.
        Warum so aggressiv Sven ? Ich bin an einem Wettbewerb, wer die besseren Tipps liefert, nicht interessiert.
        com.redstone.ota.ui wurde schon Wochen vor dem 1. April von Malwarebytes als Trojaner ausgewiesen. Dass er der eigentliche Auslöser/Vermittler ist, ist unbestritten.

        • Sven sagt:

          Oh drei !!! und dann Bezeichnung meinerseits als "agressiv", danke für die Bestätigung das alles nicht so schlimm ist weil es bei Ihnen ja nicht aufgetreten ist.
          Alle hätten nur eine App löschen können und wären dann glücklich gewesen.
          Zuvor hat Gigaset den Server über Ostern weiterlaufen lassen (das macht ein Fassungslos) und Leute mit Problemgeräten noch ordentlich weiter versorgt.
          Ein Update gibt es immer noch nicht und auf dem Gigaset Blog wird man "geblockt" wenn man auf die Schuld von Gigaset hinweist.

          • Günter Born sagt:

            Wir sollten die Diskussion an dieser Stelle auslaufen lassen.

            Der Punkt ist: Die Geräte wurden mit Malware versorgt, wobei es wohl so ist, dass je nach Gerät unterschiedliche Malware installiert wurde.

            Es hilft nicht weiter, wenn jemand meint, sein Gerät sei jetzt Malware-frei – und das ggf. für alle Geräte postuliert wird.

            Ich sehe die Geräte schlicht als kompromittiert an – und solange Gigaset keinen Foolproof-Mechanismus für die betroffenen Geräte bereitstellt, die diese Firmware- und Datenmäßig in einen frischen Werksauslieferungsstand bringt, würde ich diesen Ansätzen, die bisher laufen, keinen Millimeter trauen. Aber es muss jeder Nutzer selbst entscheiden, was Sache ist – ggf. bleibt ja das Einschicken des Geräts an Gigaset.

            Sollten da infizierte Geräte später an Kunden zurückgehen, gibt es bestimmt einen Kommentar von Betroffenen hier. Und dann werde ich das im Blog thematisieren.

  104. Sven sagt:

    Bei der App Malwarebytes ist dann jetzt der offizielle Gigaset Server "com.redstone.ota.ui (Update App bei GS160 + GS170) " bei mir als Schädling eigestuft.

    Nunja bilde sich jeder selbst ein Urteil.

  105. Gigaset 270 sagt:

    ich hab jetzt mein gigaset neu gemacht und beim wischen des displays erscheint nur noch NOTFALL klicke ich dort drauf erscheint die Tastatur vom Telefon. mehr geht nicht.

    • Dieter sagt:

      Es gibt einige Geräte da hilft zurücksetzen in den Werkszustand nicht, weil auch der UICC-Bereich der (USIM) SIM-Karte geschädigt wurde. D.h. vor dem Rücksetzen muss die SD-Karte und alle SIM-Karten dem Gerät entnommen werden. Dann bitte nur noch eine neue beschriebene SIM-Karte vom Provider einsetzen.
      Die eigentlichen Malwarefunktionen wurden von den Hackern erst sechs Wochen nach dem Hack aktiviert. Die Geräte werden zum Beispiel als Rückgrad für weltweite Telefonate verwendet bei denen dadurch die Verbindung verschleiert wird und um über bestimmte Pay-Nummern-Anrufe Geld einzuziehen.

  106. Blümchen sagt:

    Hallo zusammen,
    wir haben aktuell (29.07.2021) in der Familie einen Schaden durch die hier beschriebene Problematik "Gigaset Android-Update-Server liefern Malware". Der Mobilfunk-Anbieter hat uns heute informiert, dass ungewöhnliche Auslands-Telefonate stattgefunden haben. Kurzum: Das Gigaset GS170 wurde und wird regelmäßig mit allen updates versorgt, auf Viren/Schäden gescannt und trotzdem ist dieser Schaden nun entstanden. Offenbar hat Gigaset den Fehler gar nicht automatisch behoben. Ich würde gern wissen, ob jemand Erfahrung hat, wie man mit den uns zu Unrecht entstandenen Kosten umgehen kann oder was Gigaset selber dazu sagt. Die Ursache ist ja quasi dort "hausgemacht".
    Und bis heute haben wir nichts von dieser Panne gehört oder wurden informiert…

    Danke und LG

    • Günter Born sagt:

      Schaue in den letzten Blog-Beitrag Nachtrag zum Malwarebefall bei Gigaset Android-Smartphones. Da hat jemand das Thema Auslandsanrufe thematisiert – könnte noch die SIM-Karte gewesen sein. Dort wurden auch Bundesnetzagentur und Provider genannt, um die Rückbuchungen zu veranlassen.

      Gigaset ist hier bei mir außen vor – außer einem Kontakt mit der zuständigen Sicherheitsabteilung, der von mir nach dem initialen Post (wohl auf grund des Presseechos) versucht wurde, kam da nichts mehr von diesem Anbieter. Die Infos im Blog wurden von der Leserschaft zusammen getragen.

    • Gerold sagt:

      Der Malware-Befall der Geräte war bereits im April dieses Jahres, war jedoch nur auf technisch orientierten Websites ein Thema.

      Gigaset hat sich in mehreren Beiträgen zum Theme geäussert, der aktuelleste ist dieser:

      Update Vorgehen Malware Smartphones

      In vorangegangenen Posts haben wir Kunden auf Probleme mit schadhaften Apps bei einigen Smartphones älterer Baureihen (GS100, GS160, GS170, GS180, GS270 (plus) sowie GS370 (plus)) hingewiesen. Wir haben den Vorfall sofort intensiv untersucht und dabei eng mit IT-Forensikern und den zuständigen Behörden zusammengearbeitet, die uns auch aktuell noch bei der Aufarbeitung unterstützen.

      Durch einen kompromittierten Server eines externen Update-Service-Providers sind schadhafte Apps auf einige Smartphones älterer Baureihen gelangt. Dies geschah nicht im Rahmen eines von Gigaset zur Verfügung gestellten Firmware/System-Updates.

      https://blog.gigaset.com/uvms/

      • Blümchen sagt:

        Hallo Günter und Gerold,

        Danke für eure Antworten. Ich les mich mal rein in die links. Fakt ist: Gigaset ist ab sofort Vergangenheit, neues Handy kommt und neue Sim-Karte wird auch geordert.

        Ärgerlich all das… Aber ich bin froh, auf diesen Blog gestoßen zu sein. Super Infos von allen.

        LG

Schreibe einen Kommentar zu Holger Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.