Aktuell berichten ja Besitzer von Gigaset Android-Smartphones davon, dass automatisch Android-Apps mit Malware installiert wird, die dann Werbeumleitungen vornimmt oder zur WhatsApp-Sperre führt. Ich habe das BSI informiert und versuche im Beitrag hier einige aktuelle Informationen zusammen zu fassen.
Anzeige
Worum geht es genau?
Am Karfreitag-Abend (2.4.2021) ging mir eine Mail eines Blog-Lesers zu, der als Besitzer mehrerer Gigaset Android-Smartphones auf einen Malware-Befall eines Teils seiner Gerät gestoßen ist. Auf den Smartphones werden SIM-Karten von E-Plus (O2-Umfeld) verwendet. Aufgefallen ist dort, dass Apps plötzlich auf Glücksspielseiten umleiten. Eine Analyse ergab, dass dort Fremd-Apps installiert worden waren:
- easenf
- com.wagd.smarter
- com.wagd.xiaoa
Zudem wird gelegentlich eine Tayase-App gemeldet. Überprüfen kann man dies, indem man die Einstellungen-App aufruft, auf Apps & Benachrichtigungen tippt und dann den Menüpunkt App-Info wählt. Dann sollten alle installierten Apps aufgelistet werden. Tippt man auf das Drei-Pünktchen-Menü und wählt Systemprozesse anzeigen, werden die Prozesse aufgelistet.
Obiger Screenshot zeigt die letzten Prozesse meines Gigaset GS 180-Testgeräts, welches keine Malware aufweist. Die letzte App in obiger Liste mit den chinesischen Schriftzeichen scheint standardmäßig auf den Geräten zu sein – ist also kein Anzeichen für eine Kompromittierung. Der Fall ist im Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus ausführlicher besprochen.
Anzeige
Kann WhatsApp die Malware ausliefern?
In den Kommentaren zum Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus wird von vielen Betroffenen ausgeführt, dass das WhatsApp-Konto gesperrt wurde (kann ich nicht testen, ich habe WhatsApp 2018 aus DSGVO-/Datenschutzgründen gekickt). Es liegt der Verdacht nahe, dass die Malware per WhatsApp kommt. Dagegen spricht:
- Ich habe eine Kurzrecherche zu den Anfang 2021 aufgetauchten Warnungen vor WhatsApp-Malware durchgeführt, aber in keinem Fall eine Verbindung mit den oben genannten App-Namen gefunden.
- Es gibt im Blog Kommentare, z.B. von DasOlli und Barbara, die definitiv angeben, dass kein WhatsApp installiert/genutzt wird.
Zudem muss ich davon ausgehen, dass bei einem WhatsApp-Schädling Meldungen von Betroffenen anderer Gerätetypen auftauchen – es gibt im Internet aber nichts diesbezüglich.
Kann es an der SIM-Karte liegen?
Eine Vermutung wäre, dass es eventuell am Anbieter der SIM-Karte liegen könnte, so dass über diese Schiene die Malware-Apps ins System kommen. Hier wurde häufig E-Plus/O2 in den Kommentaren zum Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus genannt. Aber auch an dieser Stelle muss ich den Kommentare von Barbara zitieren, die Vodafone als Mobilfunkanbieter verwendet. Zudem hätte ich auch andere Gerätebesitzer von anderen Herstellern, aber mit dem gleichen Mobilfunkanbieter vermutet.
SMS mit Schad-Link ist imho auch eher unzutreffend, da dann andere Hersteller betroffen wären.
Es deutet auf die Gigaset Firmware-Updater hin
Blog-Leser Volko (und ein weiterer Betroffener) hat in seiner Analyse die update.apk in der Firmware der Gigaset-Geräte als verursachenden Prozess, der die Malware-Apps installiert, ausgemacht (siehe Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus):
Mindestens einer der Update-Server für Android Smartphones wurde offensichtlich kompromittiert und liefert seit einigen Tagen Malware aus, welche über die im Hintergrund als Systemprozess laufende Update-App auf verschiedenen Gigaset Smartphones automatisch installiert wird.
und
Ich kann mich meinem Vorgänger anschließen, die Systemapp update.apk läuft. Warum die Überhaupt läuft, ist mir nicht klar, da ich automatische Updates in den Entwickleroption ausgeschaltet habe.
Da mein Handy gerootet ist, habe ich die Systemapp update.apk deinstalliert.
Im englischsprachigen Blog-Beitrag haben sich noch Leser mit Meldungen zu anderen No-Name-Androiden wie vkworld T2 Plus, Fly Nimbus 16 oder Vivax gemeldet. Für mich ist dies ein starkes Indiz, dass es mit der Kombination Firmware/Update und einem kompromittierten Server (Supply-Chain-Attack) zusammenhängen dürfte.
Was sagt Gigaset?
Ich habe den Support und die Presseabteilung von Gigaset in der Nacht von Freitag auf Samstag per Mail auf den Sachverhalt und den Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus) aufmerksam gemacht. Am 3.4.2021 wurde um 1:11 Uhr das Ticket 220221 / Malwarebefall der Gigaset Android-Server eröffnet. Am 3.4.2021 kam um 16:45 Uhr die Meldung vom Support:
Sehr geehrter Herr Born,
herzlichen Dank für Ihre Anfrage.
Ihr Anliegen wurde an entsprechende Stelle zur weiteren Bearbeitung weitergegeben. Wir bitten Sie um noch etwas Geduld bis eine Antwort zur Verfügung steht.
Wir wünschen Ihnen noch ein schönes Osterfest!
Mit freundlichen Grüßen
Aleksandra Milosavljevic
Ihr Gigaset Team
E-Mail: support@gigaset.com
Website: www.gigaset.com/service
Ich habe die Nacht zum 4.4.2021 (irgendwo um 1:00 Uhr) auf Twitter folgenden Tweet an Gigaset und das BSI abgesetzt, weil keine Reaktion kam.
Immerhin hat sich der Präsident des BSI, Herr Arne Schönbohm nach wenigen Stunden mit folgender Antwort gemeldet:
Da geht der Daumen von mir in Bezug auf das BSI hoch – mal schauen, ob und wann bei Gigaset jemand nun reagiert. Ein Trauerspiel.
Achtung: Ich empfehle allen Gigaset Android-Gerätebesitzern die Hinweise im Blog-Beitrag Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten zu beherzigen und das Gerät tot zu legen. Zumindest solange, bis Gigaset reagiert hat und der Vorgang allumfassend geklärt ist.
Ergänzung: Von Gigaset ist mir eine erste Einschätzung der Ursache zugegangen – ich habe die vorläufigen Informationen im Blog-Beitrag Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021) veröffentlicht.
Ergänzung 1: Ich habe jetzt eine erste vorläufige Zusammenfassung einer technischen Analyse der Sicherheitsforscher von Malwarebytes im Blog-Beitrag Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware veröffentlicht.
Ergänzung 2: Ein ausführlicher Blog-Beitrag zu den Informationen, die im Artikel Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021) bereitgestellt wurden samt meiner Einschätzung folgt.
Ergänzung 3: Die Hinweise im Beitrag Gigaset-Malwarebefall und das WhatsApp/SIM-Problem zum Wechsel der SIM-Karte erweisen sich wohl als nicht gänzlich unnötig, wie sich im Beitrag Nachtrag zum Malwarebefall bei Gigaset Android-Smartphones vom Juli 2021 nachlesen lässt.
Artikelreihe
Gigaset Android-Update-Server liefern vermutlich Malware aus
Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)
Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten
Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021)
Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware
Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)
Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1
Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 2
Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)
Gigaset-Malwarebefall und das WhatsApp/SIM-Problem
Anzeige
Hallo Herr Born,
Habe GS160, D1 Telkom, kein Watsapp, Insta oder sonstiges Socalal media Gedöns. Scheint offensichtlich unabhängig von Provider zu sein. Genannte Malware hat sich in der Nacht auf Karfreitag mit Updatepaket installiert. Erste Auffäligkeit war leergesaugtes Akku und dann das Bombardement mit den genannten Links
Schließe mich diesem Beitrag an… auch das GS160 meiner Frau hat es Karfreitag erwischt. Provider D2 und keine Social Apps.
Ist nun erst einmal ausgeschaltet bis weitere Infos vorliegen
Ich hatte nach Befall und WhatsApp Sperre mehrere malware Programme deinstalliert und anschließend Nichtwissend ein verfügbares Systemupdate gestartet. Nach Download des Updates und Neustart bleibt das Handy nun beim booten stecken. Kann hierzu jemand helfen oder ist das Handy geschrottet?
Gleiches Problem GS170, o2, WhatsApp Sperre, Massiv WerbePopUps. Google neu installiert, manuell Apps gelöscht (Tayase, xiao….). Heute Benachrichtigung über Gigaset Update geladen, installiert. Jetzt geht garnix mehr!!! Bleibt beim booten hängen… Schönen Dank.
Jap wir haben 3 Stück und alle haben das gleiche Problem. Nach stundenlanger Suche blieb nur noch das abschalten des systemupdates übrig. Leider war es bei einem Gerät bereits zu spät. Dieses startet ebenfalls seit 04.04. Nicht mehr. Die anderen gehen noch. Derzeit sind jedoch alle Internetverbindungen getrennt. Bisher habe ich keine Lösungen für die Wiederherstellung des einen Gerätes gefunden. Ggf. komplette Systemzurücksertung?
Wie Du hier mehrfach lesen kannst bring ein Reset allein nichts. Du müsstest dann über die Entwickleroptionen und USB Debugging Tool das Update ausschalten.
ABER: Das hat bei mir auch nichts gebracht. Der Update-Prozess ist zwar nun auf "aus" und läuft auch nicht mehr aber trotzdem kommen alle paar Stunden wieder Apps auf das Gerät die ich nicht installiert habe.
Ich habe mich nach 2-3 Tagen rumprobieren dazu entschlossen die SIM in ein altes Telefon zustecken und das Gigaset einfach mal ausgeschaltet für ein paar Tage liegen zu lassen bis es von Gigaset Neuigkeiten gibt.
Damit sind wir genau bei der Empfehlung, die ich im dritten Artikel gegeben und oben im Text gelb hinterlegt hervorgehoben habe.
Ich hatte das gleiche Problem. Bei mir hat nur ein Reset auf Werkeinstellung geholfen, davor habe ich SIM Karte und SD Karte entfernt, ABER: meine SD Karte kann nun nicht mehr gelesen werden, sie müsste formatiert werden und dabei gehen Daten verloren, habe mich deswegen nun an einen Spezialisten gewendet.
Die Malware Apps wurden trotz Reset wieder aufs Handy geladen, da hilft mir jetzt vorübergehend, dass ich jegliche Updates verboten habe und die Malware apps deaktiviert habe. Die Performance des Handys ist mässig, habe dies als Anlass genommen mir ein Neues zu kaufen (diesmal ein Fairphone).
Bei WhatsApp konnte ich mich wieder einloggen, ich würde aber keine Bankgeschäfte mehr tätigen, da ich mir nicht sicher bin, was im Hintergrund noch alles läuft.
Gruss von einem User mit GS170 aus der Schweiz (bei Sunrise), das Problem liegt nicht beim Anbieter.
Ich besitze ein Gigaset gs370, was nur gelegentlich angeschaltet wird, ohne Whatsapp, Facebook etc. Ich nutze es ausschließlich für online- Banking, Sumup und paypal. Heute beim Anschalten fiel mir eine nicht zu löschende Meldung auf, daß ich mich doch in Facebook einloggen möchte… Die alte Simkarte in dem Smartphone habe ich irgendwann mal für meine Facebook- Account benutzt. Spannend, jetzt werde ich erstmal zur Bank laufen, um zu überweisen. Laß mich überraschen, ob Gigaset Hilfe anbietet.
Der Thread im Google-Support-Forum wo die Thematik zuerst diskutiert wurde und ich die Anregung zum Stoppen des wiederkehrenden Malware-Befalls bekommen hatte ist jetzt übrigens vom Moderator geschlossen worden.
Offensichtlich sorgt man sich dort in völliger Verkennung der Brisanz der Situation mehr um off topic Diskussionen und unerwünschte Anleitungen zum Rooten von Geräten … das ist wirklich "ganz großes Kino"
…melde einen weiteren Fall mit den genannten Symptomen auf meinem GS 180. SIM ist Vodafone…verstehe in diesen ganzen Foren nur Bahnhof und wäre dankbar, wenn ich wüsste, was ich machen soll…
Zur Zeit kann man eigentlich nur abwarten bis sich gigaset dazu äußert, Gerät ausschalten und abwarten und anfangen den Support zu kontaktieren.
Wenn Du einen PC besitzt und keine Berührungsängste mit der Komandozeile in Windows/Linux hast kannst Du den Update-Systemprozess deaktivieren und das Problem so nach jetzigem Wissensstand dauerhaft beseitigen … siehe ursprünglichen Blog-Artikel.
Andernfalls ist es besser das Smartphone auszuschalten und bis auf Weiteres nicht mehr zu benutzen, leider!
Ich hab kein WhatsApp auf dem einen Handy, was betroffen ist und auch keine Sim Karte.
Scheint wirklich an Gigaset zu liegen.
Ich habe ein GS170 mit SIM-Karte von O2.
Stutzig geworden bin ich, als am 1.4. mein Whatsapp Zugang gesperrt wurde. Zudem haben sich seitdem auffällig viele komische Apps sebstständig installiert. Nicht alle wurden durch meinen Virenscanner als "Bedrohung" eingestuft.
Ich habe geforscht und festgestellt, dass die erste komische App-Installation am 24.3.2021 um 14:51 stattfand, und die hieß "easenf".
Danach habe ich noch folgende auffällige App-installationen gefunden:
gem
xiaoan
smart
AppSettings
Tayase
com.yhn4621.ujm0317
BBQ Browser
Ducky
Relax Music
(etwas ohne Namen)
Happy Jump
Stack
Color
Happy Stack
Mein Display fängt manchmal trotz Ruhezustand bzw. Bildschirmsperre ein Eigenleben an. Es ist unten eine Funktionsleiste zu sehen. Außerdem öffnen sich verschiedene meiner Apps "von selbst", z.B. Google Play Store, Maps, Firefox, Whatsapp…
Ich hoffe auf Hilfe.
Hallo,ich besitze auch ein GS 370 das gleiche Problem habe ich heute morgen dem Datenschutzbeauftragten per E-Mail gemeldet,nämlich das das Smartphone eigenständig seid gestern Nachmittag vorwiegend zwei Apps installiert: SMART und XIAOA,die ich jedesmal wieder deinstallieren muß,passiert trotzdem ich einen Virusscanner installiert habe,der mir die auch anzeigt,aber anscheinend nicht verhindern kann,das es überhaupt geschieht, was ja sinnvoll wäre.-Zusätzlich bekam ich heute eine WARNUNG vor dem Virusscanner sollte ihn sofort deinstallieren welches ich natürlich nicht tue.Habe es jetzt erstmal komplett abgeschaltet und warte ab,bis ich mehr Infos von Gigaset habe.
Guten Abend,
wir sind mit unserem GS170 auch betroffen. Eine Mail an den Service von Gigaset ging raus. Mal abwarten.
Familie Fronober
"Ich habe den Support und die Presseabteilung von Gigaset in der Nacht von Freitag auf Samstag per Mail auf den Sachverhalt …"
Von Karfreitag auf Karsamstag…
"Wir bitten Sie um noch etwas Geduld bis eine Antwort zur Verfügung steht."
Das ist doch schonmal eine Reaktion. Was erwartet man denn über das Osterwochende? Ja, ist doof, aber die Hacker, welche die Smartphones jetzt infiziert haben, haben sicher genau das eingeplant, dass die früheste vernünftige Reaktion nächsten Dienstag kommen.
ist schon einige Tage her, dass ich in der Industrie tätig war. Da gab es durchaus Bereitschaftsdienst, 24/7 – wenn Chemieanlagen standen, hieß es rankommen. Ein Smartphone-Hersteller, der irgendwo vernünftig mitspielen will, sollte zumindest für die kritische Infrastruktur ein Emergency-Response-Team haben.
Nur mal so: Der Chef vom BSI hat auf meinen Tweet geantwortet – das Social Media Team von Gigaset ist im Internet 2.0 verschollen oder auf Ostereier-Suche …
Nun ja, seit 2018 sind die hier eh diesbezüglich runter gefallen. Pressemitteilungen werden von mir (ähnlich wie beim Samsung) unveröffentlicht gelöscht.
Ich kann dir sagen was man erwarten kann, nämlich dass der Sauladen schnellstmöglich den verdammten Update-Server abschaltet. Da muss sich ja wohl irgendwer verantwortlich fühlen, vollkommen Latte ob es Ostern ist oder nicht.
Wie Herr Born schon gesagt hat, wenn man vernünftig mitspielen will muss man sich um die kritische Infrastruktur kümmern, rund um die Uhr, ob da Feiertage sind oder nicht kann dem Kunden herzlich egal sein.
Volle Zustimmung!
Guten Abend,
GS370, keine SIM, WLAN selektiv an, keine Google-Konto Verknüpfung aktiv, lediglich Updater an.
Malware wird geladen. Xiaoan, Smart und Tayase. Prozesse beendet, und gelöscht. Kommen immer wieder wenn WLAN/Internet an für 2min+
Hoffe Patch kommt.
MacG
Moin Zusammen,
und noch einer ! GS270, seit ca.3 Tagen Installation von "Fremdapps", öffnen diverser Startseiten beim Chrome-Browser, erhöhter Stromverbrauch, reduzierte Geschwindigkeit und seit ca. 30 min Sperre bei Whatsapp.
Gruß
JG
Guten Morgen,
und wieder grüßt das Murmeltier…. GS160 fährt von alleine runter….
habe ein befallenes GS160 und kann dazu folgendes berichten: 1. Meine Virenschutzsoftware von GData scannt und sagt 0 gefunden hat aber einen Fehler beim scannen festgestellt, merkt aber dann immerhin wenn sich die Schadsoftware ausführt. Ob das dann ne große Hilfe ist? Zurücksetzung auf Werkseinstellung hat nichts gebracht, Viren kamen wieder. Ein Android-Update führte zu dem Zustand, dass es beim hochfahren hängenblieb wie einige andere User hier auch schon berichteten. Ein Factory-Reset behob das Problem mit dem Hängenbleiben beim booten zwar wieder und das Handy läuft wieder, aber das eigentliche Problem wurde dadurch nicht gelöst….
Nutze Lidl und Fonic (Vodafone und E-Plus) aber das Problem tritt scheinbar auch ohne SIM-Karten nur per W-LAN auf.
Ach ja noch erwähnenswert: Egal welcher Browser ob Chrome oder Firefox, das trifft alle, bei mir hat Firefox blöde Seiten aufgerufen.
Zumindest haben wir keine langweiligen Ostern…
vorläufige Liste der potentiell schädlichen Apps:
com.redstone.ota.ui [System-Update-App]
com.baidu.map.location ["网络位置" = "Network location"]
com.swfp.factory
com.wagd.diggoods.upa
com.wagd.easenf
com.wagd.smarter ("smart")
com.wind.applock
com.wind.emode
com.wind.windruntimetest
com.wagd.xiaoan ("xiaoan")
com.yileiya.ayase ("Tayase")
com.yhn4621.ujm0317
update.apk
gem
com.dolphinstudio.taiko [Spiel als Tarnung "Rhythm Master"]
com.dolphinstudio.hook [Spiel als Tarnung "Demolition Crew"]
com.relax.rain [Spiel als Tarnung "Relax Music"]
Anleitung zur Entfernung:
https://www.borncity.com/blog/2021/04/03/gigaset-gehackt-android-update-server-liefern-wohl-malware-aus/#comment-104370
(dabei muss man aber dort im Mittelteil den Block zur Entfernung der Apps ergänzen um die Apps, die hier stehen, weil die Liste dort noch zu klein war.)
com.redstone.ota.ui
sollte man vielleicht besser nur deaktivieren statt deinstallieren, weil man sonst später gar keine
Updates mehr bekommen könnte.
ebenfalls besser nur deaktivieren statt deinstallieren:
com.baidu.map.location
weil das eventuell für den normalen Betrieb notwendig ist.
Es gibt ja inzwischen Teil 3 der Artikelreihe. Ich empfehle den Betroffenen die Geräte zu deaktivieren und zu warten, bis Gigaset da substantielles von sich gegeben hat. Die Geräte sind kompromittiert, niemand weiß, was wirklich genau läuft. Normale Benutzer dürften zudem mit dem Säubern überfordert sein.
Das kann man wohl laut sagen. Dem "Otto-Normal-Verbraucher" dürfte kaum bekannt sein, welche der unzähligen Apps in der Liste der Systemprozessee wirklich original sind und welche malware. Habe auf jeden Fall die "Wölkchen-App" angehalten und die Daten gelöscht und dann das Handy ausgeschaltet.
Nun kann ich nicht mehr aus dem Haus gehen, da man hier bei uns (in Asien) überall QR Codes einscannen muss, wenn man sich fortbewegt.
Schönen Dank auch, Gigaset (letzter Sicherheitspatch im März 2020 zum Beispiel). Enttäuscht/böse Mail an Gigaset ist abgeschickt.
Vielen Dank an alle für die Tipps. Wenigstens fühlt man sich dann nicht allein mit dem Problem. Etwas paranoid bin ich schon, traue mich gar nicht mehr, mein Google Konto auf dem Notebook zu öffnen, aus Angst, Viren vom Handy landen dann auch auf diesem Gerät.
Der Durchschnittsbürger kennt sich halt echt nicht aus mit dieser ganzen Technik.
Mein GS170 ist ebenfalls betroffen. Außer mit einem Teil der im Thread genannten Apps war mein Telefon tiefer kompromittiert. Das Abschalten der OTA-App hat dazu geführt, dass der com.wagd-Kram nicht mehr wieder neu installiert wurde, ist aber nur ein erster Schritt. Auch ohne OTA-App kommen com.yileiya.ayase und/oder com.yhn4621.ujm0317 bei Online-Verbindung ständig wieder zurück.
Ich habe mit einem Packet Capture beobachtet, dass verschiedenste Apps (z.B. com.android.google.apps.messaging, die offizielle Google SMS-App) seltsame HTTPS-Requests an Hosts mit zufällig wirkenden Namen schicken, und darüber wohl die Antwort erhalten, welches Unheil auf den Geräten angerichtet werden soll. Am Ende hat sich herausgestellt, dass ein Malware mit ähnlichem Wirkprinzip (vielleicht ein Nachfolger?) wie https://news.drweb-av.de/show/?i=11390&lng=de auf dem Gerät installiert wurde. Dank trickreicher Methoden, die ich hier nicht öffentlich ausführlich erklären will, reicht der Variante, die auf den Gigasets installiert wird, die Manipulation von /data/dalvik-cache, anstatt wie bei Dr. Web beschrieben direkt eine Systembibliothek zu modifizieren.
Nach dem Entfernen der unerwünscht installierten Apps, dem Deaktivieren des Redstone-OTA-Updaters und dem Löschen des Dalvik-Caches, gefolgt von einem Reboot, sind auf meinem Gerät keine unerwünschten Apps mehr aufgetaucht. Dennoch wurde etwa 16 Stunden nach der vermeintlich endgültigen Säuberung des Geräts mein WhatsApp-Account zum zweiten Mal gesperrt. Dabei habe ich noch nicht herausfinden können, ob das an weiterer Malware auf dem Gerät, an WhatsApp-Aktionen von vor der Säuberung, oder an einer generellen Blacklist der betroffenen Gigaset-Geräte durch WhatsApp liegt.
Als Indicator of Compromise für diese Malware kann dienen, dass /data/dalvik-cache/arm/boot.oat und /data/dalvik-cache/arm64/boot.oat keine Symlinks auf die Systempartition mehr sind, sondern einfache Dateien.
Dalvik-Cache löschen:
Smartphone ausschalten, Kaltstart, Recovery, "wipe cache partition", Reboot
h**ps://www.zurucksetzen.de/de/zurucksetzen/gigaset-gs370
Edit:
Obiger Befehl löscht eigentlich nur die Cache-Partition und nicht den Dalvik-Cache:
h**ps://www.connect.de/ratgeber/android-cache-loeschen-speicher-app-recovery-rooten-1941377.html
Muss man da eventuell manuell löschen und hinterher auch noch Symlinks manuell reparieren?
reicht das aus, um den dalvik-cache mittels adb zu löschen?
adb root
rm -r /data/dalvik-cache
rm -r /cache/dalvik-cache
Sollte ausreichen, allgemein sollte man immer den Dalvik- und Daten Cache nach derartigen Bereinigungen (malware deaktivieren/ deinstallieren). Das kann man manuell im Total Commander machen (Dateien einfach löschen) oder mit Apps. Ich verwende dazu App2SD Pro.
Ich war übrigens am 30.3.2021 infiziert, 31.3.21 früh festgestellt und die update.apk deinstalliert (zum Glück gabs das Google Forum). Malware Apps deinstalliert. Daten-/Dalvik Cache gelöscht. Seitdem scheint alles in Ordnung zu sein.
Natürlich habe ich die update.apk gesichert, aber auf Updates von Gigaset kann ich erst einmal verzichten.
Das Problem ist leider, dass zumindest auf unseren GS180 ohne vorheriges "Rooten" adb root nicht funktioniert. Der Befehl wird in diesem Fall mit der Fehlermeldung quittiert, dass auf "production builds" adb nicht als root gestartet werden kann.
Damit entfällt leider auch die Möglichkeit der Überprüfung auf die o.g. Indicators of Compromise für die Malware … oder habe ich eine Möglichkeit übersehen?
Wenn das Löschen des Dalvik Caches nicht ohne Root geht, aber im Recovery sollte es gehen? Ansonsten fällt mir dann nur der Werksreset ein und deaktivieren der update App danach, vor der 1. Internetverbindung !!!
Auf meinem GS170 funktioniert der zwei Jahre alte, und vor einem Jahr etwas stärker in die Schlagzeile gekommene Root-Exploit aus "mtk-su" problemlos. Damit habe ich auf meinem Smartphone ohne Unlocking (und damit verbundenem Reset) eine Root-Shell erhalten. Ich vermute, dass alle betroffenen Smartphones eine ausreichend alte Firmware (Kernel älter als März 2020) haben.
Link zu mtk-su:
https://forum.xda-developers.com/t/amazing-temp-root-for-mediatek-armv8-2020-08-24.3922213/
Hallo,
kann mir bitte jemand von seinem GS160 die APK com.redstone.ota.ui zukommen lassen? Falls Gigaset das Problem (dauerhaft?) beheben sollte, wäre es gut, darüber noch mal offizielle Updates installieren zu können. Ich will nach Möglichkeit mein GS160 dazu nicht erst auf die Werkseinstellungen zurücksetzen müssen.
E-Mail: da7700forever(at)posteo.DehhhhhEhhhhh
Ich habe dieses Paket leider im ersten Aktionismus deinstalliert und nicht nur deaktiviert.
Außerdem wundert mich, dass GS160-Geräte, so wie einige Nutzer hier berichten, noch Android-Updates bekommen? Mein Gerät hat die Sicherheitspatch-Ebene 5.Mai 2018 und hat auch seitdem bei manueller Suche über die "Wolken-App" (Systemaktualisierungen) nie ein verfügbares Update angezeigt.
Ich wünsche noch einen frohen restlichen Ostermontag.
Ich antworte mir mal selber: Habe es mit der com.redstone.ota.ui schon hinbekommen. Die APK war noch im /system/app-Verzeichnis.
Hallo Jan F.
habe auf einem GS170 das Paket auch gelöscht, kann es aber aus dem Verzeichnis /system/app/ nicht wieder installieren. Wie sieht das Shell-Kommando aus?
Habe selbe Probleme, Gigaset 170 und O2. Habe die Apps schon mehrfach gelöscht, installieren sich immer wieder neu.
Akku geht rasend schnell down.
Sollte Reaktion und Handlung von Gigaset ausbleiben, trage ich mich mit dem Kauf eines neuen Handys, diesmal aber kein Gigaset mehr.
Genau wie bei mir, ab 01. 04. spinnt mein GS170, auch O2. Rücksetzen, Virenscan,Firewall nützt nichts. Bin mal gespannt
Hallo,
als Ergänzung:
Gerät: GS270 plus
Anbieter: t-mobile
Seit heute die identischen Probleme wie alle hier, einschließlich Sperre von Whatsapp, nach Freischaltung über den Whatsapp-Support Nachrichten aus Indien etc.
Habe Gigaset über das Kontaktformular angeschrieben..
vg Peter
Also, hier benutzer aus Belgien mit ein Belgische provider und kein Facebook / WhatsApp usw.
Ich habe zwei Gigaset :
GS170 mit ein service "Upgrade v6.2.3"
GS270 mit ein service "Updater v5.4.1"
Meine Sophos Intercept X malware scanner :
GS170 mit ein service "Upgrade v6.2.3" –> Malware
GS270 mit ein service "Updater v5.4.1" –> OK
Ich habe nur die probleme mit dem GS170, dem GS270 ist immer online und hat (bisher) keine probleme
Habe "adb shell pm disable-user –user 0 com.redstone.ota.ui" auf dem GS170 getan, mal sehen was das gibt !
Noch dazu:
GS170 : Dutch UI active
GS270 : English UI Active
Grund fur "Upgrade" "Updater" unterschied ?
Eine Frage an den Blog Owner, wie/ wo kann man das BSI offiziell kontaktieren, ausser in Twitter? Inwiefern ist dafür zuständig?
Hat jemand Erfahrung damit, wie sieht es allgemein mit Schadensersatzrecht aus? Zumal ich Update in den Entwickleroptionen explizit abgestellt hatte und trotzdem Updates ungefragt mit Schadsoftware installiert wurden?
Ich bin.auch seit 4 Tagen betroffen mit Maware. Habe ein Gigaset 370.Das Antivirusprogramm erkennt die drei Apps (gem, Smart und Xiaoan) immer und ich deinstalliere sie dann Aber dann sind sie in ein paar Stunden wieder da, so zweimal am Tag. Mein Whatsapp Account war inzwischen zweimal gesperrt, nach dem letzten Freischalten bekam ich whatsapps aus Brasilien, von verschiedenen Nummern, beim zweiten mit Sprachnachricht und Profilbild (Brasilianerin mit Staubsauger in der Hand) . Ich blockierte ohne Sprachnachricht anzuhören. Habe gestern.auch an Gigaset geschrieben,aber noch keine Antwort. Furchtbar so was – erst dachte ich hätte irgendwas gemacht. Aber es liegt mit hoher Wahrscheinlichkeit an Gigaset.
.
Ich kann die Problematik auf einem GS370 nachvollziehen (by the way, danke für den Artikel! Ein verwandter ist mit den Problemen auf mich zugekommen.)
Ihm wurde u.a. Das WhatsApp Konto gesperrt.
Ich habe das Handy mit meinem Gast-WLAN nach werksreset Verbunden – nach 30 Sekunden hatte ich die ersten Mails von meiner Sophos Firewall vom Intrusion Detection System, dass mit dem Gerät etwas faul ist. Es wurden viele Verbindungen in den Asischen Raum aufgebaut.
Bravo.
Das Gigaset ist nun im Müll.
Der verwandte hat jetzt mein altes iPhone 6, welches vor ein paar Tagen wieder ein Update bekommen hat….
Wo bleibt die offizielle Kommunikation seitens Hersteller?
Und vor allem : was passiert mit den anderen Kunden, die nicht jemandem IT Affinen kennen?
Gehöre ebenfalls zu den Betroffenen. Habe die SIM entfernt und das Gerät ausgeschaltet. Frage an die Fachleute: Kann ich die SIM in einem Handy eines anderen Herstellers nutzen?
Das frage ich mich auch die ganze Zeit. Genauso spannend wie die Frage, ob man von anderen Geräten aus (wie z.B. PC) das Google Konto gefahrlos öffnen kann oder lieber nicht. Wenn nein, hieße das ja, dass komplett alles weg wäre, sämtliche Daten inkl. Kontaktel, etc.
1) Sim karten sind Herstellerunabhängig
2)
Grundsätzlich ist alles als Kompromittiert zu betrachten, was mit dem Handy in Kontakt oder drauf war – inklusive ungepatchten Geräten wie NAS, ioT(Internet of unpatchted S****), Router mit Standardpasswort, … im Heimnetz und natürlich sämtliche Konten.
Bei meinem Verwandten habe ich ebenfalls die Banking-App sowie beim Google Account ein neues Passwort vergeben, sowie 2FA eingerichtet.
Beim Online-Banking des Verwandten habe ich keine Aktivität feststellen können.
Wo hast du die Sophos Firewall laufen? Auf dem Router, welches Modell hat die mit drauf?
Die Frage zu Sophos: Ich nutze hier Zuhause Sophos UTM auf einem alten PC mit zwei Netzwerkkarten von mir.
Diese Firewall Appliance (nicht Router) Scannt den kompletten Traffic bei mir und blockiert "IPS – Intrusion Prevention System" gefährlichen Traffic.
Die Frage zu Sophos: Ich nutze hier Zuhause Sophos UTM ("Firewall / Router") auf einem alten PC mit mehreren Netzwerkkarten.
Diese Firewall Appliance Scannt den kompletten Traffic bei mir und blockiert "IPS – Intrusion Prevention System" gefährlichen Traffic.
Hallo Mark,
hat der Verwandte jetzt auch eine neue Nummer oder konnte die SimCard vom Gigaset in das IPhone eingesetzt werden? Meine Nummer wurde scheinbar ja ins Ausland weitergegeben, so dass der Beibehalt der Nummer vermutlich nicht so gut ist. Bin Laie und fühle mich von Gigaset alleine gelassen.
Ich gehöre ebenfalls zu den Betroffenen. Habe das Gerät ausgeschaltet. Frage an die Fachleute: Kann ich meine SimCard im Handy eines anderen Herstellers weiternutzen?
Gs4, keine Probleme. APP updates und Systemupdates deaktiviert, 2x Sim jeweils congstar, whatsapp und Telegramm.
nach Dr web Virenscann Android downloaer 3844 gefunden nicht löschbar ohne root Zugriff nach hardreset immer noch da
Hab ein G370. Phänomene wie oben beschrieben.
War eine Weile online (updater über entwickleroptionen deaktiviert) und whatsapp war gesperrt. com.yhn4621.ujm0317 war deinstalliert. Nachdem whatsapp wieder ging kamen sofort Fragen der dubiosen Apps
com.yhn4621.ujm0317 ob sie auf Fotos etc zugreifen darf. Also muss sie just bei der Freischaltung von whatsapp installiert und gestartet worden sein. Ist es eventuell möglich, dass die Schadsoftware über (hintergrundgeladene) Whatsapp daten installiert wird ?
Zudem Whatsapp messages aus Brasilien….
ich habe das gleiche Problem auf meinem gs170. habe mit dem Virenscanner die die schädlichen apps mehrmals entfernt, doch sie kamen immer wieder. von whatsapp wurde ich auch gesperrt. die sperre wurde vom whatsapp Support nach einer mail von mir mit Bezug auf diesem blogpost wieder zurückgenomme. das gigaset habe ich nun ausgeschaltet und den akku entfernt.
pünktlich heute um 0:00 local Zeit hat "google play" schon wieder eine Warnung angezeigt, dass bei meinem GS100 die App (com.yhn4621 …) installiert wurde die das System kompromittiert … so eine Sauerei !
Bin in der österr. Mobilfunk-Kunde aber derzeit in der Schweiz unterwegs (und habe natürlich Angst vor massiven Roaming Gebühren …)
…bei mir hat das auch zuerst mit der Whatsapp – Sperre angefangen, dann bemerkte ich dass die Lautstärke immer auf "lautlos" bzw "nicht stören" verstellt war, obwohl ich das meist nie verwende …also nicht manuell von mir eingestellt war, und so um die Mitternachtszeit bei meinem Handy der Bildschirm ein Eigenleben entwickelte …also da war der Navigationsbalken sichtbar – aber der Bildschirm war dunkel – ganz suspekt für mich, da ich zuerst dachte dass das Teil abgestürzt ist, aber dem war nicht so …
habe bis auf weiteres keine banking app gestartet, oder ähnliches … Das Teil bleibt ausgeschaltet bis Klarheit erkennbar ist . …schöne Osterüberraschung – DANKE
Guten morgen,
das Smartphone GS170 meines Mutter ist betroffen. Komischerweise meines GS270 nicht. Woran auch immer das liegen mag.
Guten Morgen,
ich komme mit dem Löschen der Gaming-Apps kaum noch hinterher :( , ansonsten habe ich ähnliche Probleme, wie von @kriger beschrieben.
Wie lange soll das jetzt noch so weitergehen, bis es da endlich mal ne Problemlösung gibt?
Bin latent genervt….
GS270 hätte oben GS270plus sein sollen !
—–
Also „adb shell pm disable-user –user 0 com.redstone.ota.ui" im GS170 hilft nur teilweise, da kommen noch schädlinge wie Tayase
Ich habe WiFi-zugang im AP blockiert, WiFi+Daten im GS170 deactiviert nach ein scan ohne probleme. Trotzdem heute morgen gerät AUS weil batterie 0%, also von 01u30->08u30 : 50%->0% !!!
—–
Peinlich die ruhe bei Gigaset, aber es heist auf gigaset.de ja "Willkommen bei Gigaset:
Ihrem Experten für Telefone, Smartphones". Peinlich !
Also Gigaset : NIE WIEDER !
Gibt es auch betroffene mit GX290 (oder GS290?)? Dazu habe ich bisher niemanden gefunden. Das GX290 ist als einziges Gigaset Smartphone ein Android Enterprise Recommended Gerät. Evtl. nutzt es ein andere Firmware.
Leider gehöre ich auch zu den betroffenen. Und ich kann nur bestätigen, was da so alles auf meinem Smartphone schief läuft.
Heute Morgen habe ich mich telefonisch beim Support von Gigaset gemeldet und man hat mir mitgeteilt, dass man fieberhaft an einer Lösung des Problems arbeite. Angeblich soll bis heute Abend eine Lösung gefunden werden und ich dann per Mail oder telefonisch informiert werden. -> Mal sehen, ich bin neutral pessimistisch
Des weiteren wurde mir gesagt, dass die Mail-Software, nach Analyse bei Gigaset, keinen Schaden bei Kontaktdaten oder Bankdaten nehmen werde.
Danke für die Info – ich drücke die Daumen, dass Gigaset da bald mit Details offen kommt. Auf meine Rückmeldungen herrscht nach wie vor Schweigen im Walde.
Grüß euch,
Wichtige Info vielleicht:
Mein neues GX290 ist bisher nicht betroffen. Natürlich habe ich überlegt woran das liegen könnte bei der Suche nach den Antworten zu: "bin ich betroffen?" und "wie kann ich nun mein Gerät weiter verwenden?" Und ja: Ich traue mir das zu, bin IT-Profi seit 15 Jahren (natürlich kann ich auch falsch liegen :P )
Nun gibt es 4 Alternativen, wieso ich nicht betroffen bin:
1. Ich hatte die Option "system updates – automatisch downloads zulassen" deaktiviert, somit war das Einfallstor (wenn es das ist) seitens Gigaset Server nicht möglich.
Anm.: In Kombination mit der Option (unter Entwickleroptionen zu deaktivieren, Standard ist AN) "automatische Systemupdates bei Neustart zulassen" ist es kritisch und äußerst einfach Malware über Verteiler (Eventuell in diesem Falle über einen Hersteller) einzuschleusen.
2. "Glück", weil diese kompromittierten Updates noch nicht an die GX290er Reihe "gepushed" wurden.
3. die GX290er Reihe ist komplett ausgenommen, weil es eine komplett neue Modell-Reihe ist (Release erst Mitte März)
4. Ein ganz anderes Einfallstor liegt vor wovon ich nicht betroffen bin (User-basierend: App installiert / link / mail geöffnet)
Die andere Frage "wie kann ich mein Gerät nun weiterverwenden?" beantworte ich so:
WLAN + bluetooth + Mobile Verbindung deaktivieren (nein, die "Buttons" am Phone reichen dazu nicht).
Mobile Datenverbindung: Deaktiviere ich beim Provider
WLAN: Entferne alle gespeicherten Zugänge am Device und sperre es auf meinen WLAN Accesspoints (MAC-Adress blacklist)
Somit ist mein Phone für das wichtigste noch verwendbar bis Gigaset sich um eine Lösung bemüht:
Erreichbarkeit über Telefon ;)
Hoffe es hilft.
LG
Dies wird durch Android/PUP.Riskware.Autoins.Redstone verursacht. So beheben Sie:
https://forums.malwarebytes.com/topic/272514-nasty-malware-that-reinstalls-after-factory-reset-but-not-xhelper-help-pls/?do=findComment&comment=1448843
Ich finde es ungeheuerlich das von Seiten des Herstellers/Update-Betreibers Tagelang nichts kommt. Es kann doch nicht sein, dass niemand in der Lage ist den Stecker dieses Servers zu ziehen.
Ja es war Wochenende, ja es war Ostern. Aber auch an diesen Tagen sollte es zumindest einen Notdienst für solche Angelegenheiten geben.
Ich werde das hier noch ein wenig weiterverfolgen, auch mit der Spannenden Frage der SIM-Karte.
Nach einem kurzen Telefonat mit meinem Anbieter heute morgen gab und gibt es keine auffälligen Aktivitäten seitens der SIM-Karte.
Aber mit Gigaset bin ich nach diesem Vorfall durch! Habe das Handy plattgemacht und momentan liegt es im Eisschrank, nachher gehts nochmal mit nem dicken Magneten drüber und dann vergrab ich es im Wald. (Das werde ich natürlich aus Umweltschutzgründen nicht tun)
Nochmal vielen Dank an Hr. Born und die anderen Experten die für so ahnngslose wie mich Augen und Ohren offen halten.
Gut, dass ich diese Seite gefunden habe!
Ich wollte gerade das Handy meiner Mutter, ein Gigaset GS 170, zurücksetzen, weil darauf genau die gleichen Probleme auftraten, wie sie schon andere beschrieben haben.
– Akku ruckzuck leer
– dann komische, aufpoppende Werbeseiten, erst in Chrome, nach Deaktivierung dann in Firefox Klar
– Whatsapp Sperre, wg. verdächtiger Aktivitäten (konnte aber wiederhergestellt werden)
– zuletzt wurde gefragt, ob die Apps "xiao" und "yhd" (oder so ähnlich) SMS versenden und auf Fotos u.ä. zugreifen dürfen.
Das war zu der Zeit, als ich gerade die persönlichen Fotos gesicherte hatte, den obigen Artikel las und sofort SD-Speicherkarte, SIM-Karte und Akku entfernt hatte.
Anbieter ist bei meiner Mutter Congstar. Sowohl deren Zugangsdaten, als auch die vom Emailanbieter habe ich geändert. Nur beim Google-Konto konnte ich das Passwort nicht mehr ändern, weil ich dazu das Handy wieder einschalten müsste, und das will ich nicht. Habe das Gigaset Handy jetzt vom Google-Konto entkoppelt.
Ich hoffe, hier kann man bald was positives lesen…
Nachtrag: Ich hatte zuvor Malwarebytes drüber laufen lassen. Und die sagten, dass eine "update" App das Problem ist, aber nicht deinstalliert werden kann, weil es eine System-App ist.
Und ewig grüßt das Murmeltier …
„Die ungewollte Installation ist durch einen Fehler im Netzwerk eines begleitenden Update-Dienstleisters entstanden. Wer versucht hat, die Installation von seinem Gerät zu entfernen, hat sie kurze Zeit später tatsächlich wiedergefunden, weil sie sich von selbst neu installiert hat."
Das ist ein Statement von Gigaset – aus dem Jahr 2019. Damals hatte Gigaset mit ähnlichen Problemen zu kämpfen wie jetzt. Computerbase hat das Thema heute auch aufgriffen [*] und ein Kommentator hat dort auf den Vorfall aus dem Jahr 2019 verwiesen und auf einen Artikel verlinkt: https://www.nextpit.de/vorsicht-app-gigaset-smartphones-von-malware-betroffen. Dort findet sich auch das Gigaset-Statement.
__________________
* h**ps://www.computerbase.de/2021-04/malware-angriff-gigaset-smartphones-mit-schadsoftware-infiziert/
Hallo Zusammen!
Erst mal vielen Dank für die vielen Infos – jetzt fühle ich mich nicht mehr so alleine, wenn auch trotzdem noch hilflos.
Ich bin ebenfalls mit einem GS 170 betroffen, aber ich traue mir wirklich nicht zu, da jetzt selbst dran zu basteln.
Daher möchte ich eine hier schon gestellte Frage wiederholen:
Wie wahrscheinlich ist es, dass ich die SIM in einem anderen Smartphone sicher weiterverwenden kann? Oder sollte ich mir lieber eine neue SIM besorgen, falls Gigaset das Problem nicht lösen kann, bzw. weil die Telefonnummer vielleicht schon anderweitig kompromittiert ist?
Danke – Heiko
Hallo, besitze ein GX290. Von Malware habe ich nichts mitbekommen, allerdings wollte ich das Handy Gestern neu starten weil ich Probleme mit der App "Geocaching" hatte, hat aber nicht funktioniert. Seitdem bootet es nicht mehr. Schwarzer Bildschirm mit rotem Schriftband "GIGASET" und ein Hinweis in englischer Sprache den ich hier mit Google übersetzt habe.
"Ihr Gerät hat die Überprüfung nicht bestanden und funktioniert möglicherweise nicht ordnungsgemäß. Bitte laden sie das Boot-Image mit der richtigen Signatur herunter oder deaktivieren sie den verifizierten Boot. Ihr Gerät wird in 5 Secunden neu gestartet."
Tut es aber nicht, es zeigt sich immer nur das selbe Bild.
Heute habe ich den Support kontaktiert, dort wurde mir von einem Problem berichtet und ich soll bis zum WE abwarten.
Jetzt warte ich.
Gruß, Egon
Gigaset sucht noch Ostereier….
Moin, ich habe heute mit Gigaset gechattet, war ein nettes aber kurzes Gespräch, der Mitarbeiter tat ahnungslos und ich habe das Problem geschildert und auch darauf verwiesen, dass ich damit kein Einzelfall bin. Er hat es daraufhin an die Technik weitergegeben und ein Ticket aufgemacht. Ich bat dann darum, man möge mir eine Mail mit der Lösung des Problems oder einer Art Gebrauchsanleitung schicken damit ich mein Handy bald wieder nutzen kann. Leider habe ich keine Mail von Gigaset erhalten, wen wunderts…..
Hier ebenfalls ein Geschädigter – hoffe das hat ein Nachspiel für Gigaset. Aktuelle Lösung: neues Handy.
Hallo, Gigaset sucht wohl noch Ostereier….
hatte heute einen Mitarbeiter von, Gigaset auf dessen Webseite im Chat, war ein kurzes Gespräch, er tat ahnungslos und ich schilderte das Problem und die Tatsache, dass ich da kein Einzelfall bin. Er hat es an die Technik weitergegeben und mir wurde eine Mail zugesagt, leider habe ich keine erhalten….
das Thema ist immer noch nicht gelöst.
Frage mich allen ernstes was mach Gigaset da eigentlich?
Habe ein GS 170, gleiche Symtome wie bei den anderen Meldungen.
Ein gewissen Eigenleben entpuppt sich
Die Einstellung Wecker verändert sich ständig, lt leise, Flugzeugmodus
Ominöse Seiten werden ungewollt geöffnet
man hat ständig was bei Facebook gewonnen
Whatsapp schaltet ab, weil angeblich Nutzerbedingungen verletzt wurden und das täglich
Schalten wieder frei, kommem dann WA aus Brasilien, Italien und sonstwo her
Vielleicht könnten sich mal Whatsapp u.a. mal mit Gigaset unterhalten
Will es endlich loswerden, weil es schon seit Karfreitag so geht.
Lies dir schlicht meine Hinweise in diesem Kommentar – dann entnimmst Du den Akku und die SIM-Karte des Geräts, wie hier empfohlen und wartest ab, ob es eine sichere Methode gibt, das Gerät zu bereinigen. Sobald mir was vorliegt, kommt das hier im Blog. Mehr ist dazu nicht zu sagen.
habe nun etliches gelesen, aber nichts richtig brauchbares von Gigaset selbst. Still ruht der See
Auch die Stellungnahmen von Gigaset sind nicht nur dürftig, finde es schlichtweg nicht akzeptierbar was da abläuft.
Nicht nur das die hier blauäugig in was reingerissen wurden,
erstmal die Schuld bei anderen suchen, anstatt sich gleich mal
dranzumachen.
Mir wäre es sehr wichtig zu wissen, wie tief in Daten der Handys eingegriffen werden konnte.
Habe keine der WA Nachrichten aufgemacht, kann trotzdem tiefergreifend was passiert sein?
Auch hatte ich noch nie die Facebook app auf dem Gerät, trotzdem jetzt Facebook Nachrichten.
Vielleicht über WA abgegriffen?
Muss jetzt einfach nochmal nachfragen; gibt es etwas neues.
Habe heute Vorsorglich mein Bankkonto sperren lassen, da derzeit niemand sagen kann wie tiefgreifend nun die Hacker eingedrungen sind.
Alles nicht so spassig, weil Gigaset zwar eine Rep 17h gestern angegeben hat, aber sich nach 24 h nichts getan hat.
Haben Sie hier neue Erkenntnisse??
Bitte darum, nicht weiter nachzufragen, ob es neue Erkenntnisse gibt. Bei allem Verständnis für die Situation – ich bin ein kleiner Blogger, der seine Zeit damit tot schlägt, hier zeitnah das abzuladen, was mir bekannt ist – bei Facebook in einer Android-Gruppe Deutsch beim Posten meines initialen Beitrags an Ostern von den "Exbärden" mit "willste wohl Eigenwerbung machen" angegiftet wurde (gut, die sind bei mir jetzt raus und ich hab den Moderatoren freigestellt den Post zu löschen – was die dann getan haben).
Wenn ich neue Erkenntnisse hätte, ständen die hier im Blog! Alle neuen Artikel zu diesem Thema sind jeweils untereinander am Artikelande verlinkt. Ansonsten: Euer Ansprechpartner ist GIGASET!
trotdem Danke :-))
verstehe es vollkommen
Bei Computerbase schreibt einer der Redakteure er erwarte im Laufe des Tages eine Rückmeldung von Gigaset, also mal abwarten.
Was Du tun solltest ist im Kundenkonto des Providers die Mobilfunkabrechnung überprüfen ob das was Verdächtiges drauf ist. Es gibt Bericht über nicht autorisierte Abbuchungen der Malware, oder zumindest solche Versuche.
Chris sagt:
07.04.21 um 9.50
bin ebenfalls betroffen habe ein GS170, seit den 03.04. geht nichts mehr, bekomme laufend Malware und WhatsApp war gesperrt. Einige installierte Apps (Google,
Google Play Store usw.) funktionieren nicht mehr richtig und es braucht sehr lange, bis sich alles aufbaut.
Habe heute früh mit dem Servicedienst bei Gigaset gesprochen, das Problem ist
bekannt, es wäre mit den letzten Update passiert. Es wird mit Hochdruck daran gearbeitet und in den nähsten 18 Std. müsste es eine Lösung geben.
Meine Lösung: neues Handy, deshalb meine Frage an Gigaset, ob das GS4 betroffen ist, es ist nicht davon betroffen, auch könnte die SIM-Karte in einem anderern Handy verwendet werden, ohne Schaden anzurichten.
danke, Sim Karte und Akku raus, kriege ich dann ja nicht mit wenn was brauchbares kommt.
Gucke dann hier alle paar Stunden rein wg. einer evtl. Lösung
Irgendwie beschleicht mich aber auch das Gefühl, das mit WA was nicht stimmt, denn
immer wenn die wieder freischalten, kommen direkt über WA aus aller Herrenländer
WA Nachrichten rein
Heute morgen 3x aus China von Yiing
könnte sich doch auch bereits bei WA eingeschlichen haben, oder?
Man kann zu diesem Zeitpunkt überhaupt nicht sagen was alles kompromittiert wurde… mein Bekannter hat sein Gigaset in Rente geschickt die SimKarte in ein Xiaomi Mi A2 Lite eingelegt und eingerichtet (Whatsapp, Telegram usw.) und erhält seit dem Stündlich irgendwelche SMS mit Text und Links in verschiedenen sprachen Glückspiel, DHL und Amazon).
Das beunruhigt mich doch sehr. Ist nun die SIM oder nur die Tel-Nr. verbrannt?
Hat jemand ähnliche Merkwürdigkeiten?
Bei mir ist ein GS160 durch rasante Akkuentladung aufgefallen.
Als Ursache fand sich xiaoam. Weiterhin fanden sich easenf,gem, smart, Tayase, com.yhn4621.ujm0317 und appSettings installiert.
Interessant ist, das das GS160 schon Monate kein Update bekommen hat, da es nur zur Heizungssteuerung ohne SIMs verwendet wird. Lediglich auf den Router hatte es Zugriff. Deckt sich also mit Winfried (5. April 2021 um 00:04) insofern, dass die infektion über WLAN aber ohne offensichtliches update getriggert wird.
Weder mein GS185 noch GS195 zeigen bislang offensichtliche Zeichen von Kompromittierung.
Entschuldigung für meine Sprache, auch ich hab dieselbe probleme mit mein GS160 seit einige Tage. Whatsapp. gesperrt. Xiaoan und mehrere apps. entfernt. SIM-Karte in andere Handy gibt keine Probleme. Anbieter ist "Simpel" (die Niederlände).
Gr.
Aber aufpassen, was auf WhatsAp oder als SMS hereinkommt – da könnte ein Trojaner dabei sein.
am 7.04 bekam ich eine Antwort von support, dass
im Rahmen von routinemäßigen Kontrollanalysen aufgefallen ist, dass bei einigen älteren Smartphones Probleme mit Schadsoftware aufgetreten sind.
Sie nehmen das Thema sehr ernst und arbeiten intensiv an einer kurzfristigen Lösung für die betroffenen Nutzer.
Dabei arbeiten sie eng mit IT-Forensikern und den zuständigen Behörden zusammen. Sie werden die betroffenen Nutzer schnellstmöglich informieren und Informationen zur Lösung des Problems bereitstellen.
Sie gehen davon aus, dass sie binnen 48 Stunden weitere Erkenntnisse, bzw. eine Lösung des Sachverhalts anbieten können.
Danke für die Warnung. Die Geschichte von WA hab ich nicht heruntergeladen.
Hallo zusammen,
wie bereits geschrieben, hat es scheinbar nur das GS170 erwischt, das GS270 ist, soweit ich beurteilen kann, sauber.
Ich hab im Bitdefender jetzt gesehen, dass am 26.03.2021 um 6 Uhr das erste mal easenf blockiert wurde.
Soeben gab es auf Chip.de eine Anleitung zum manuellem entfernen dieser Malware
Habe 4 der dort aufgeführten Apps bei meinem GS170 gefunden und nach der Anleitung
gelöscht.
Hat, zumindest was ersichtlich ist, auch funktioniert, sind alle nicht mehr in der App
Liste.
Man müsste jetzt nur noch gesichert wissen ob nicht irgendwelche Daten geklaut wurden, dazu gab es leider keine Informationen.
Nun allerdings ist mein Ein/Ausschalter am Gerät wohl defekt.
Beim betätigen springt nur der Lautstärkeregler an.
Hat hier jemand eine Idee?
nach jetzt 1h , löschen der schädlichen Malware;
ist das sog. Eigenleben; Steuerzeile unten, wieder aktiv bei dunklem Bildschirm.
Hab in den angezeigten Apps des Gerätes aber nichts ungewöhnliches, bzw. neues gefunden.
Bin absoluter Laie, kann daher auch nicht erkennen ob vielleicht noch eine App nicht
als Schädling in Betracht gezogen wurde.
Du bestätigst mein Bauchgefühl – die vielen enthusiastischen Posts "gibt eine Lösung" sind leider zu kurz gesprungen.
soeben hat sich
com.yhn4621.ujm0317
installiert
nachdem ich nach der Anleitung alles deinstalliert hatte.
Jetzt auch diese deinstalliert, die war zuvor nicht in meiner App Liste, poppte eben hoch mit einer Install Anfrage
mit ablehnen weggeklickt und trotzdem drauf
oh man
Siehe https://www.borncity.com/blog/2021/04/05/malwareangriff-was-gigaset-android-gertebesitzer-jetzt-machen-sollten/#comment-104911
seit 22:00 Uhr gestern Abend alles ruhig.
Google play hat heute morgen noch eine App rausgefischt und deinstalliert.
Meine App Anzahl hat sich nicht verändert.
Auch der Ein/Ausschalter ist wieder funktionsfähig (dachte das wär eine mech. Sache)
allerdings wieder "nur Wecker" wieder automatisch eingestellt. :-( also immer noch
nicht alles wieder i.O.
unser GS 170 war ebenfalls betroffen. Ich habe den Fall an Gigaset gemeldet und gestern Abend (Do 8.4.) folgende Antwort erhalten:
==========================================
Sehr geehrter Herr …,
herzlichen Dank für Ihre Geduld!
Im Rahmen von routinemäßigen Kontrollanalysen ist uns aufgefallen, dass bei einigen älteren Smartphones Probleme mit Schadsoftware aufgetreten sind. Diese Erkenntnis wurde auch durch Anfragen von einzelnen Kunden bestätigt. Wir haben den Vorfall sofort intensiv untersucht und dabei eng mit IT-Forensikern und den zuständigen Behörden zusammengearbeitet. Zwischenzeitlich konnten wir eine Lösung für das Problem identifizieren.
[+++ Rest-Texts gekürzt – G.Born +++]
=================================================
Ich habe das Gerät über Nacht liegen gelassen und tatsächlich sind bis auf Tayase und com.yhn4621.ujm0317 alle unerwünschten Aoos verschwunden. Letztere hat Google Protect eliminiert. Die andere werde ich manuell deinstallieren und dann schau'n mer mal.
Ich habe den Gigaset-Text jetzt mal gekürzt, da diese Meldung breit hier im Blog an einigen Stellen zu finden ist. Was ich bedenklich finde, dass nach der Nacht, wo eigentlich das Auto-Update durchgelaufen sein müsste, immer noch Tayase und com.yhn4621.ujm0317 aufgetaucht sind.
genau !!!!
die machen ihre Arbeit bei Gigaset nachweislich nicht konsequent und ordentlich
schwer zu sagen.
Tayase wurde bei mir gestern um 17:13 installiert. Ich kann aber nur sagen, dass es nicht bereinigt wurde. Bei com.yhn4621.ujm0317 weiß ich nicht, wann es installiert wurde. Habe nur die Meldung von Google Protect bekommen.
Bei mir gibt es noch eine AppSettings, die mir auch suspekt erscheint, aber bisher nicht erwähnt wurde.
AppSettings =
com.setmktdsings.asmitasmkutapp
Malwarebytes sagt dazu:
We have com.setmktdsings.asmitasmkutapp classified as Android/PUP.Riskware.HiddenAds.mktds. HiddenAds will pop up annoying ads in browser and other locations.
AppSettings ist also auch ein Schädling, der weg muss.
Tayase hat sich heute um 13:00 Uhr erneut Eingang verschafft.
Da heute morgen schon mal deinstalliert, muss dieser wohl noch irgendwor bei Gigast festhängen.
Anders ist das nichtmehr zu erkären
AppSettings
ist bei mir 2x drauf,
wer kann mir zuverlässig sagen das es Schadstoffware ist.
Frage mich warum Gigaset bei dieser App nicht reagiert hat
Eine davon ist ein Schädling.
Schau in den Eigenschaften der beiden AppSettings nach und lösche diejenige, wo du auch das findest:
com.setmktdsings.asmitasmkutapp
(= AppSettings)
bei beiden nichts zu finden
die 1. App version 2.98
1,86 mb groß
1,33 mb seit 3.4. genutzt
die 2. App version 2.97
1,67 mb groß
keine Daten genutzt
ansonsten keinerlei Einträge, Eigenschaften??
kann es als Laie nicht beurteilen was gebraucht wird und was nicht
"ansonsten keinerlei Einträge, Eigenschaften??"
Normalerweise hat man dort oben rechts noch ein kleines Symbol zum Antippen und dann sieht man den Paketnamen und den App-Namen.
Schau doch mal bei beiden AppSettings, wie sich die Paketnamen unterscheiden und falls du da etwas findest, dann schreibe es hier hin.
das fängt mit "com." an oder so ähnlich.
diese musst du löschen:
die 1. App version 2.98
1,86 mb groß
1,33 mb seit 3.4. genutzt
(nicht nur wegen des Datums 3.4., sondern auch weil Version 2.98 bereits in einem anderen Beitrag gefunden wurde.
"AppSettings 2.98 installiert von Einstellungen",
dabei bedeutet "AppSettings" genau das selbe wie "Einstellungen", nur einmal englisch und einmal deutsch.
Tayase 2021_03_12 installiert von Einstellungen (also von AppSettings)
Wäre es eine originale System-App, dann müsste da auch eigentlich "System" stehen.
)
Tayase schon heute 3x deinstalliert
eben der Wecker wieder still gelegt
sw. Bildschirm, beleuchtete Steuerzeile, dann ein/ausschalten nicht möglich
hab jetzt Version Appsettings 2.98 deinstalliert.
warte jetzt ab, ob Tayase wieder reinkommt
2.97 ist ja derzeit ohne Aktion
melde mich
AppSettings 2.98 hatte ich ja deaktiviert
nun kam bei
Appsettings 2.97 Bewegung rein
dann auch deaktiviert
und, man mag es nicht glauben, promt ist
die Version 2.98 wieder drauf
was nun?
Bei mir ist Tayase auch wieder da. Angeblich vom Google Play Store installiert.
Ich hatte weiterhin die App Ducky deinstalliert. Ist aber auch wieder da. Auffällig ist, dass sie in der normalen Oberfläche (Einstellungen etc.) nicht sichtbar ist.
Tayase heute zum 3. mal deinstalliert
wenn meine Analyse richtig ist, ist genau diese App
für das Eigenleben des Gerätes verantwortlich
dunkler Bildschirm, Statuszeile unten leicht beleuchtet, man kann dann weder
ein/ noch ausschalten, das dauert, irgendwas blockiert hier.
Auch wird bei mir unmittelbar nach dem Auftauchen dieser App Wecker/ nicht stören aktiviert.
Sonst ist alles wieder ok, Akkulaufzeit wie zuvor
Irgendjemand muss uns da doch helfen können
Hege hier immer noch den Verdacht das Gigaset es immer wieder reinspielt
Tausend Dank für deine Beobachtungen und das Ausprobieren. Die Nerven, die wir hier alle in dieser Woche lassen und die Zeit, die wir mit Lesen und Bloggen verwenden, sind mit Geld nicht aufzuwiegen. Ich habe aus lauter Paranoia nach wie vor mein Handy aus, das Bereinigen scheint ja nicht zu funktionieren. Gigaset hat sich damit selbst disqualifiziert. Schade, eigentlich hatte das Modell genau die Funktionen, die ich zum Leben brauche und sah auch noch gut aus. Aber nach dieser Aktion…nee…
"Tayase auch wieder da. Angeblich vom Google Play Store"
Google würde so einen offensichtlichen Schädling aber erkennen und rausschmeissen.
Das bedeutet also im Falle GIGASET, dass vermutlich der "Google Play Store" ausgetauscht wurde gegen einen Schädling, der genauso heißt.
Kannst du mal in den Einstellungen nachschauen, wie der Paketname des "Google Play Store" heißt?
Normalerweise lautet der so:
com.android.vending
bei mir heisst 24.8.17-21(0)(PR)367157137
Systemeinstellungen ändern stand hier auf "ja"
hab es mal auf nein gestellt
mal sehen was jetzt passiert, oder nicht mehr
bin kurz davor aufzugeben
den eben wieder eine com. app drin
Verzweiflung
die App Duraspeed, was genau ist das?
steht drin von Google PlayStore
Mit Duraspeed bekommen die Apps, die im Hintergrund unsichtbar laufen, mehr Rechenleistung zugeteilt, laufen dann also schneller.
Also Schädlinge auf Speed.
"com.android.vending" ist bei mir vorhanden.
Das letzte Update vom Google Playstore war bei mir am 6.4. um 16:05 Uhr.
Version 24.07.20-21 [0] [PR] 366188017
Die AppSettings 2.98 ist gerade eben auch wieder aufgetaucht (installiert von Einstellungen ???)
Tayase hatte ich gestern Abend wieder manuell deinstalliert. Hat bis jetzt gehalten.
Abends geht es wieder los, Asien wacht wohl wieder auf.
WA erneut abgestellt wg. Verletzung der Nutzerbestimmungen
Steuerleiste wird aktiv
dann auf "nicht stören" gestellt
unterschiedliche Malware der bekannten Categorie installiert sich wieder
WA angeschrieben, bitte wieder freizuschalten, hat auch geklappt und dann gings los
jede Menge WA Meldung von rund um den Globus
alle gesperrt und gemeldet, kommt da doch von einer von mir gesperrten und gemeldeteten WA: sie haben mich gesperrt
ich bin hier fassungslos.
Habe gelesen, Gerät auf Werkseinstellung zurücksetzen (Empfehlung von Gigaset)
kamen dann diverse Meldungen von Betroffenen, das danach das Handy tot war, fährt nicht mehr hoch, mach nix mehr…………………..
Daher traue ich mich nicht dieser Empfehlung zu folgen
zu lesen war auch das Gigaset immer noch an einer Lösung arbeitet
Finde es schon recht spassig, das den Kunden diverses empfohlen wird, die aber bei Gigaset selbst nichts auf die Reihe kriegen
weiß jemand evtl. inzwischen mehr?
Ist bald soweit das mir hier jemand die Tränen trocknen muss
https://www.borncity.com/blog/2021/04/08/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021-teil/#comment-105055
soeben
App Liste ist von 48 auf 49 Apps in der Menge angestiegen.
Es ist aber keine neue hinzugekommen, jedenfalls nicht erkennbar
Kann sich die zus. App irgendwo verstecken?
Wenn ja, wo?
hatte vor 7 Tagen eine Ticket Nr. erhalten.
Dann tatsächlich ein Anruf, nachdem ich 3x per mail nachgefragt habe.
Sie wollten mir ein Rücksendeschein schicken.
Meine Frage; ist denn niemand bei Gigaset in der Lage die verbleibenden Probleme
zu analysieren und Abhilfe zu schaffen?
Nein, schicken Sie ihr GS170 mit dem RS Schein bitte zurück.
gut verpackt und der Beleg des Kaufs soll beigelegt werden.
Klappte aber auch nicht, musste 2x nachfragen wo der RS Schein dann bleibt.
Nun ist es da, GLS Rücksendeschein.
Wohne auf dem Land, die nächste GLS Annahmestelle 20km weit weg und derzeit wg. Corona geschlossen.
Habe gebeten mir einen DHL RS Schein zu schicken, das geht angeblich aber nicht.
Mein Fazit: verursachtes Problem von Gigaset, aber extrem stur dieser Hersteller.
Irgendwie habe ich kein Verständnis mehr dafür.
Meine Frage an andere Betroffene:
Wie bekommt man die ständige Einstellung auf "nicht stören" wieder weg, denn das ist das einzige das mich derzeit noch beschäftigt.
Alles andere störende habe ich wieder wegbekommen
Ich habe den Kommentar manuell freigegeben – keine Ahnung, warum er im Papierkorb gelandet ist – irgend ein Filter muss angeschlagen haben.
Mit dem GLS-Problem und der weiten Wege auf dem Land, da bist Du nicht alleine. Und mit GLS habe ich vor einigen Jahren so meine eigenen Erfahrungen mit dem Massenversand gemacht – musste teilweise DHL beauftragen, weil GLS-Pakete mehrfach als unzustellbar zurück kamen.
Zum "Wie bekommt man die ständige Einstellung auf „nicht stören" wieder weg, denn das ist das einzige das mich derzeit noch beschäftigt." -> gehe davon aus, dass dein Smartphone infiziert ist, sonst dürfte das nicht mehr passieren.
Ob Gigaset das in den Griff bekommen wird, kann ich dir beim besten Willen nicht beantworten. Vom Bauchgefühl fürchte ich auch, dass noch kein Gigaset-Besitzer ein zum Säubern eingeschicktes Gerät zurückbekommen hat und uns mitteilen kann: Alles sauber. Falls doch, werden wir bestimmt einen Kommentar hier lesen dürfen. Ich drücke mal die Daumen, dass alles glatt geht.
Das ist schade das es wohl scheinbar keinen Ausweg aus dem Dilemma gibt.
Hab auch noch nicht gehört das die RS an Gigaset und die Rep.
dort zu einen Ergebnis geführt hat.
Bin daher auch sehr skeptisch was die RS betrifft, wird dann wohl
eine Ewigkeit dauern bis es zurück ist, oder vielleicht auch niemals.
Es ist doc h wirklich unfassbar was hier geschieht.
Geht mir gar nicht um das Unternehme GLS, hilft mir aber auch nicht, wenn die Annahmestellen wg. Corona dicht sind.
Habe jetzt echt gehofft, und hoffe immer noch, das das was Gigaset nicht hinbekommt, hier jemand hinkriegt.
Könnte heulen wg. dieser blöden Geschichte.
heute ist das GS170 seit 12h wieder ok.
Kein erhöhter Akkuverbrauch
Kein Einschalten der Steuerleiste
Keine Umschalten auf "nicht stören"
Weiß jemand ob es vielleicht doch von Gigaset ein funktionierendes Update
eingespielt wurde?
Bei Gigaset ist nichts zu lesen
Hat jemand ähnliche Erfahrungen gemacht?
und schon wieder,
48h war Ruhe, keinerlei Störungen
dann wieder das gleiche Spiel; lautlos, Werbung, Steuerleiste verselbständigt sich.
Warum es denn 48h ruhig war, lässt sich mit keiner Logik erklären.
Man soll den Morgen bekanntlich nicht vor dem Abend loben.
Wieder an Gigaset mit dem noch bestehenden Ticket geschrieben.
Ich soll es doch nun endlich einschicken und bestätigen das ich diesen Service jetzt auch nutze.
Kann nirgendwo lesen ob jemand damit schon Erfolg hatte, sein Smartphone nach erfolgreicher Reparatur wieder zurück hat.
Nun werde ich wohl doch diesen Weg gehen, mir zuvor ein Ersatzgerät kaufen.
Bin schwer von diesem deutschen Unternehmen enttäuscht.
Wüsste gerne ob andere auch diese Erfahrungen gemacht haben.
Hallo,
danke für Eure Hinweise. Ich habe heute auf meinem Archos Core 55S (Android 7), welches als Ersatzhandy dient, nur ein TAN Generator und praktisch immer völlig ausgeschaltet ist, zwei dieser Apps zufällig entdeckt (Smart und Xiaoan). Ich hatte mich gefragt, was dieses für welche sind und so Deinen Blog gefunden. Das letzte Update liegt mehrere Wochen zurück, umfasste aber keine Firmware sondern nur ein paar Apps aus dem Play Store. Die oben genannten Prozesse laufen auch nicht auf dem Handy, der als Ursache genannte Updater ist bei mir nicht installiert. Frage ist, wo die beiden Malware Apps plötzlich herkommen und wie lange diese schon drauf sind. Vielleicht nur eine teilweise Installation des Trojaners? Sind jetzt deinstalliert und installieren sich auch nicht nach. Keine ungewöhnlichen Vorkommnisse auf dem Archos.
Aus meiner Sicht sind die com.wind.* Apps Test-Tools für die Handy-Produktion, und nicht als Malware einzustufen.
Mit diesem Kommando kann man com.wind.windruntimetest ausprobieren, und die verschiedensten Funktionen des Handies damit durchtesten:
adb shell am start -n com.wind.windruntimetest/.RuntimeTestMain