Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten

Seit der Karwoche sehen sich ja zahlreiche Besitzer eines Gigaset Android-Smartphones der Situation gegenüber, dass dort automatisch Malware installiert wird. Noch sind die genauen Folgen unbekannt, aber gesperrte WhatsApp-Konten, gekaperte Facebook-Konten oder Umleitungen auf Glücksspielseiten sind bereits beobachtet wurden. Hier eine kurze Information und Hinweise, was man als Betroffener tun sollte.


Anzeige

Malwareangriff auf Gigaset Android-Geräte

Es gibt ein massives Problem mit Gigaset Android-Geräten, denn zahlreiche Benutzer melden seit der Karwoche (erste Meldungen, die ich gesehen habe, stammen vom 1. April 2021, weitere Meldungen kamen am 2., 3., 4. April 2021 rein) einen Befall der Gerät durch Malware. Es werden automatisch unerwünschte Apps installiert, die ihr Eigenleben auf den Smartphones führen. Die Folgen sind für die Gerätebesitzer gravierend:

Malwareangriff auf Gigaset Android-Geräte

  • Browserfenster öffnen sich urplötzlich mit Werbung oder leiten zu Glücksspielseiten um
  • WhatsApp-Konten werden (wegen kritischer Aktivitäten) gesperrt
  • Facebook-Konten werden ggf. komplett übernommen
  • Möglicherweise werden SMS-Nachrichten automatisch verschickt
  • Das Gerät geht in den „Nicht stören“-Modus
  • Das Akku wird schnell leergesaugt
  • Das Smartphone wird langsam

Ob auch Daten abgezogen werden, ist aktuell unklar. Jedenfalls sollte davon ausgegangen werden, dass die auf dem Gerät gespeicherten Daten kompromittiert sind. Wer dort Banking-Apps oder Online-Konten benutzt hat, muss davon ausgehen, dass deren Anmeldedaten eventuell geklaut wurden. Ich hatte über diesen Sachverhalt ausgiebig im Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus berichtet. Der letzte Sachstand findet sich im Blog-Beitrag Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021).

Bin ich betroffen?

Wenn das Gigaset Smartphone plötzlich ein ungewöhnliches Verhalten zeigt (beim Browsen öffnen sich plötzlich Werbetabs oder man wird umgeleitet, das Akku ist binnen Stunden leer, das Smartphone geht automatisch in den „Nicht stören“-Modus), ist das ein Hinweis auf eine mögliche Infektion. Ob man betroffen ist, kann man an der Liste der installierten Apps und laufenden Systemprozesse herausfinden.

Installierte Apps und Systemprozesse (Android)

 

Überprüfen kann man dies, indem man die Einstellungen-App aufruft, auf Apps & Benachrichtigungen tippt und dann den Menüpunkt App-Info wählt. Dann sollten alle installierten Apps aufgelistet werden. Tippt man auf das Drei-Pünktchen-Menü und wählt Systemprozesse anzeigen, werden die Prozesse aufgelistet (siehe obiges Bild). Dann kontrolliert man, ob eine der nachfolgend genannten Apps oder Prozesse dort auftauchen:

  • easenf
  • com.wagd.smarter
  • com.wagd.xiaoan oder xiaoan
  • gem
  • smart
  • AppSettings
  • Tayase
  • com.yhn4621.ujm0317
  • BBQ Browser

Es könnten weitere Apps auftauchen, die man nicht selbst installiert hat. Eine vorläufige Liste findet sich in diesem Kommentar. Wer einen Virenscanner als App installiert hat, dem sollten die verdächtigen Apps gemeldet werden. Die Scanner entfernen aber die Schad-Apps nicht.


Anzeige

Was kann/soll ich als Betroffener tun?

Gibt es den Verdacht oder die Gewissheit, dass die oben erwähnten Schad-Apps installiert sind? Dann ist schnelles Handeln empfohlen. Ein Löschen der Apps oder ein zurücksetzen des Smartphones auf Werksauslieferungszustand scheint nicht wirklich zu helfen. Die Apps werden später automatisch neu installiert und der Malware-Befall startet von vorne.

Erfahrene Nutzer finden im Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus samt den Kommentaren Hinweise, wie man dem Problem über den Android Debug Monitor (ADB) zu Leibe rücken und die Malware ggf. deaktivieren kann. Es scheint auch, als ob einzelne Nutzer die Neuinfektion der Geräte bisher verhindern konnten.

Aber: Nicht sonderlich erfahrene Benutzer sind mit der Installation des ADB und der Ausführung der Kommandos, um die update.apk still zu legen, deutlich überfordert. Und für erfahrene Benutzer gilt: Das System ist durch die Malware kompromittiert, also nicht mehr sicher. Ich empfehle allen Betroffenen:

  • Fahrt das Gigaset Android-Gerät mit dem Malware-Befall herunter und legt das Teil still (falls möglich Akku und SIM-Karte raus). Wartet, bis es von Gigaset – oder hier im Blog – neue Informationen zum Thema und Hinweise auf das Säubern der Geräte gibt.
  • Anschließend setzt ihr an einem PC oder einem nicht infizierten Smartphone die Zugangsdaten für Online-Konten zurück.
  • Kontrolliert die ggf. vorgelegten Rechnungen der Mobilfunkanbieter auf ungewöhnliche Aktivitäten (z.B. genutzte Premium-SMS-Dienste)

Das Außerbetrieb-setzen des Geräts halte ich für essentiell – denn niemand kann heute sagen, was die Malware alles macht. Auch die Leute, die meinen, das Gerät von der Malware befreit zu haben, sollten sich vergegenwärtigen, dass das Smartphone kompromittiert ist. Es kann nicht sichergestellt werden, dass nicht noch Schadroutinen im Hintergrund lauern und Daten stehlen oder andere Sauereien veranstalten (siehe auch diesen Kommentar).

Es sollte jedem Nutzer klar sein: Auf den heutigen Smartphones sind meist zahlreiche Zugangsdaten, Kontaktdaten, E-Mail-Adressen, Telefonnummern etc. gespeichert – d.h. ihr gefährdet mit eurem Handeln auch die persönlichen Daten von Dritten. Und nur mal angemerkt: Auf einem solchen Gerät wollt ihr weiter Online-Banking, Facebook & Co. machen, die E-Mails abrufen und was weiß ich? Wirklich? Lest euch mal den Kommentar von Marion und die Antwort von Bolko durch …

Wichtige Ergänzung: Beachtet zudem meine ergänzenden Hinweise im Artikel Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware – dass die Malware-Apps Premium-SMS versenden oder kostenpflichtige Optionen auf Spieleseiten buchen, die dann über einen Mobilfunkvertrag belastet werden. Also dort Sperren einrichten lassen.

Sollten Gigaset-Geräte für berufliche Zwecke genutzt werden, ist die datenschutzrechtliche Relevanz des Malware-Befalls zu evaluieren. Es ist eventuell die zuständige Datenschutzaufsicht über einen möglichen DSGVO-Vorfall binnen 72 Stunden zu informieren. Ich spreche diesen Punkt an, da einige Nutzer über gesperrte WhatsApp-Konten berichten – ich gehe also davon aus, dass die Malware auf WhatsApp zugegriffen hat und dann aktiv etwas gepostet hat. Wer WhatsApp auf beruflich genutzten Geräten installiert hat, steht übrigens vor einem weiteren Problem – diese App und der Dienst konnte nicht DSGVO-konform genutzt werden.

Die Änderung der Zugangsdaten der auf dem Smartphone genutzten Online-Konten ist eine Vorsichtsmaßnahme. Diese Änderungen sollten nur auf einem PC oder einem nicht infizierten Gerät erfolgen. Andernfalls besteht die Gefahr, dass die eingegebenen Zugangsdaten abgegriffen und an die Cyber-Kriminellen übertragen wurden.

An dieser Stelle bleibt zu hoffen, dass Gigaset baldmöglich reagiert und genau klärt, was passiert ist, wie man die Geräte wieder flott und Malware-frei bekommt und wie man eine Neuinfektion verhindern kann. Wenn es dumm läuft, ist das Gigaset schlicht ein Totalschaden. Dann sollte das Gerät bei Gigaset als Hersteller reklamiert und Austausch oder Erstattung des Kaufpreises gefordert werden.

Ich ziehe es mal hier rein: Gigaset agiert nach außen zwar als deutscher Hersteller, der angeblich in Deutschland fertigt und hier Arbeitsplätze schafft. Meinen Informationen nach werden in Bocholt Komponenten aus China mit Robotern endmontiert (geringe Fertigungstiefe). Gigaset war mal eine Tochter von Siemens. Aktuell ist Gigaset ist in der Hand des chinesischen Großaktionärs Pan Sutong, der das Ziel verfolgt, chinesische Handys als in Deutschland gefertigt zu etablieren (siehe auch diesen Artikel).

Ergänzung: Von Gigaset ist mir eine erste Einschätzung der Ursache zugegangen – ich habe die vorläufigen Informationen im Blog-Beitrag Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021) veröffentlicht.

Ergänzung 1: Ich habe jetzt eine erste vorläufige Zusammenfassung einer technischen Analyse der Sicherheitsforscher von Malwarebytes im Blog-Beitrag Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware veröffentlicht.

Artikelreihe
Gigaset Android-Update-Server liefern vermutlich Malware aus
Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)
Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten
Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021)
Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware
Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)

Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1
Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 2
Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)
Gigaset-Malwarebefall und das WhatsApp/SIM-Problem


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

61 Antworten zu Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten

  1. Bolko sagt:

    Am besten nimmt man auch die SIM-Karte aus dem Gerät heraus, denn man kann nichtmal sicher wissen, ob das Gerät auch wirklich runtergefahren ist, denn auch das scheinbare Ausschalten kann man faken.

    Ich würde sogar empfehlen, das WLAN-Passwort im Router zu ändern, damit das Smartphone wirklich vom Netz abgekoppelt ist.

    • Stephan sagt:

      Das sind gute Tips. Fortgeschrittene Informatiker, die das genauer untersuchen will, sollten einen neuen Hotspot machen und Wireshark dazwischen klemmen.

  2. Winfried sagt:

    Hallo,
    da bin ich froh darüber ein Handy mit herausnehmbarem Akku zu haben (GS-160), Akku raus und gut. Wer das nicht hat kann in der Fritzbox den W-LAN-Zugang des Gerätes begrenzen oder sperren und das Internet für das Gerät sperren. Dumm finde ich die verlorenen Daten, denn das wiederherstellen aus einer Sicherheitskopie hat immer den Beigeschmack von war die wirklich noch sauber.
    Und Gigaset blamiert sich hier mit Osterpause.

  3. J.H. sagt:

    Ich habe ein GS270 – da ist die malware jetzt drauf.

    Und ich habe ein GS185, da ist diese NICHT drauf.

    Großer Unterschied: Das GS185 hat einen Qualcomm-SoC.

    D.h. das Problem ist vermutlich ein Problem bei einem Mediatek-Server, den Gigaset mitnutzt. Verantwortlich ist dennoch Gigaset. Wer mit „Made in Germany“ wirbt, sollte dort auch seine Update-Server haben und auch selbst betreuen. Ansonsten hat er ein Glaubwürdigkeitsproblem.

    Ich setze zukünftig somit noch mehr auf „Designed in California“.

    • Dat Bundesferkel sagt:

      Also auch wenn es OT ist: Aber auf „Made in Germany“ kannst Du schon seit Jahren nichts mehr geben. Die Anforderungen um dieses „Markenzeichen“ nutzen zu dürfen, sind sehr gering. Laut Zoll muß nur ein kleiner Teil der Herstellung in Deutschland erfolgen – gilt so übrigens auch bei Lebensmitteln. Mandarinen aus der Dose, geschält… bei ALDI… kommen aus China. :-)

    • Benjamin sagt:

      Hallo.

      Das GS185 bekommt seit 05.2020 keine Updates mehr. Von daher ist es (Ironie an) „geschützt“ (Ironie aus).

      Gruß
      Benjamin

  4. ARi sagt:

    Hallo,

    außer der „ewind“ App aus dem anderen Thread habe ich bei mir (GS270plus) keine der möglicherweise gefährlichen Apps gefunden. Ich habe auch nicht das Gefühl betroffen zu sein, da sich das Smartphone normal verhält.
    Ich finde aber auch die com.redstone.ota.ui nicht unter Apps. Sollte diese dort nicht auf jeden Fall auftauchen, da das ja die update App ist?
    Weiterhin ist mir der Pfad der Infektion noch nicht klar. Es müsste, wenn ich es richtig verstanden habe, ein Systemupdate passieren. Das sollte doch nur passieren, wenn von Gigaset eins bereitgestellt wird. Da gab es für das GS270plus im Februar das letzte (S142, ist auch installiert). Vielleicht haben die gefährlichen Apps bis Anfang April geschlummert und sind dann aktiviert worden?
    Über Google und den Playstore sollte die Infektion dich nicht kommen, oder?

    • JohnRipper sagt:

      Nein über den Store von Gigaset.

      Ich würde auf jeden Fall das Gerät platt machen.

      • ARi sagt:

        Also auf Werkseinstellungen zurücksetzen? Und nicht ans Netz lassen?

        Zur Info, eine Freundin hat auch das GS270plus. Aber mit veraltetem System (S127 aus 2018). Dort hat Avast die betroffenen Apps gefunden.

        Kann es daher sein, dass nur nicht aktualisierte System betroffen sind?

        • Dieter sagt:

          In dem Falle nicht, weil ich vor nicht all zu langer Zeit manuell die Aktualisierung angestoßen hatte, und das kam es wäre alles aktuell, wenn auch der Stand nach der Telefoninfo schon einige Zeit gewesen sein muss.

          • ARi sagt:

            Hast Du auch ein GS270?

            Mir ist aufgefallen, dass bei der Firmware Version S140 eine Änderung am Systemupdateprogramm gemacht wurde. Vielleicht zum Besseren 😬

  5. FJW sagt:

    Guten Abend.

    Ich habe ein GS270plus. Wird als Zweitgerät genutzt und ist ca. 1-2 Mal täglich einige Zeit via WLAN online, das letzte Mal Sonntag früh. Keinerlei auffällige Symptome, weshalb ich bisher eigentlich dachte, dass mein Gerät glücklicherweise nicht betroffen ist … aber nach einem Neustart heute Mittag (offline) sind nun auch die verdächtigen „com.wind.emode“ sowie „WindRuntimeTest“ in der Liste der installierten Anwendungen (Systemprozesse) vorhanden, allerdings sonst keine weiteren der genannten.
    Nach dem Neustart zeigt das Gerät auch weiterhin keine Auffälligkeiten, alles schaut „normal“ aus … auch der Akkuverbrauch ist normal. Seit gestern (und demnach auch nach dem Neustart) war das Gerät allerdings auch (sicherheitshalber) nicht mehr online.
    Allerdings habe ich nun auf Grund des Vorhandenseins der beiden genannten Anwendungen das Vertrauen in das Gerät verloren. Komische Situation, aber möglicherweise ist das Gerät einfach bisher „nicht dazu gekommen“ weitere Schadsoftware nachzuladen … oder die beiden Anwendungen sind gar nicht die Quelle des Übels (bisher bin ich nie die Systemprozesse durchgegangen, so wie die meisten Nutzer) … oder eben erst der „Anfang“ des Malware-Befalls.
    Das Gerät habe ich erst mal sicherheitshalber bis auf Weiteres stillgelegt.

  6. Waldmensch sagt:

    Habe auch gerade ein Gerät in den Händen gehabt, zum Glück nicht alles installiert worden. Da auf dem Gerät kein Speicherplatz frei war/ist.

    Vom Netz getrennt, Daten kopiert. Passwörter geändert.
    Gerät wird entsorgt.

    Die Reaktion von Gigaset ist peinlich.

    SIM Karte kann es nicht sein, war eine Edeka Karte jetzt Otelo. Es wird auch von O2 berichtet.

  7. Dieter sagt:

    In der Liste fehlt noch der idle.miner.* mehr konnte ich nicht mitlesen, während der Virenscanner durchlief.

  8. Dieter sagt:

    Heute noch gesehen mit einem anderen Antivirenwerkzeug Agent.CHI muss noch auf die Liste der Malware-Dateien ergänzt werden. Im Play Store wird die Installation von Virenscannern behindert. Beim Download bei etwas über 90% bleibt der Installationsvorgang hängen. Das ausgeschaltete Mobiltelefon schaltete sich in der Früh von selbst ein. Es reagierte nicht mehr, nur noch der Wechsel zwischen schwarzen Bildschirm und einem Return-Pfeil. Die Ausschalttaste war blockiert. Beim Gigaset 170 kann man glücklicherweise noch den Akku entnehmen. Ein GPS-Logger meinte nach dem ersten Meter man wäre 5400km gefahren. Google Play Store aufrufen führt gerade zu einem schwarzem Bildschirm nach einer halben Stunde startet dieser wieder. Da liegt mehr im Argen. So wie das aussieht, kann die Malware nur durch Mithilfe der Gigaset-Update Server entfernt werden. Wenn diese nicht mitspielen sei erwähnt das es Gesetze hierzu gibt, die man anwenden könnte.

  9. Gert sagt:

    Was ich ja ganz übel finde ist das es von Gigaset immer noch keinerlei Reaktionen gibt.
    Der Server liefert weiterhin munter die Updates aus

    Bei uns in der Firma wurden alle Geräte eingesammelt und werden wohl in die Tonne wandern, das war’s denn mit Gigaset

    • Günter Born sagt:

      Die Presseabteilung hat meine Mail von Samstag, den 3.4.2021, 01:10:51, nachweislich der Mailbestätigung am 6.4.2021 um 7:31 Uhr abgerufen. Bisher (6.4.2021, 10:08 Uhr) nicht mal eine Bestätigung, dass die dran sind. Ich muss nichts mehr dazu schreiben …

      – heise bekommt noch einen Artikel, Golem hat bereits gestern – nach einem Hinweis von mir – reagiert – winfuture ist von selbst drauf gekommen.

      – die anderen Hechte im Karpfenteich (ComputerBild, Chip, FAZ SPON, ZON, RND) haben die Info von mir, sind aber auch im Weihnachts-Oster-Lockdown oder warten auf einen AP/DPA-Meldung …

      Ist ja alles Neuland -> im Prinzip zeigt der Vorfall, dass man einen großen Teil der Android-Geräte-Anbieter nur mit der Kneifzange anfassen sollte.

  10. Jörg sagt:

    Hallo,
    habe ein GS160 und ein GS170
    Sind beide komplett befallen mit allen hier bisher aufgeführten Apps.
    Jeder Lösch- Deinstallationsversuch war zwecklos.
    Antivierenprogramm erst nach ca 20 Versuchen installiert bekommen, sonst bei 85-98 Prozent stehengeblieben.
    Nach Durchlauf des Antivieren-Programms wurden keine Malware angezeigt, aber alle Apps der Schad-Liste sind auf dem Telefon noch vorhanden.
    Anscheinend verhindert die Malware ein erkennen durch ein AV-Programm

  11. Olli sagt:

    Immerhin neue Tweets für Produkte absetzen können sie. Oder waren das die Hacker, die weitere Opfer brauchen, also Geräte „absetzen“ müssen?

    Ist da in der Firma ggf. auch mehr kompromittiert? Update Server ist eine Sache – da muss man ja erst mal ran kommen. Ich kann mir vorstellen, dass Gigaset ein wesentlich größeres Problem hat und bin froh, dass meine Gigaset-TK schon immer per Firewall blockiert wird und nur nach Hause „funken“ darf, wenn ich das will und sonst nicht. Fehlte noch, dass für die „normalen“ Anlagen auch noch eine verseuchte Firmware unters Volk gebracht wird.

  12. Marion sagt:

    Ich habe vorhin dem Gigaset-Support eine E-Mail geschickt. Antwort lautet: Ein Mitarbeiter unseres Support-Teams wird sich in Kürze um Ihre Anfrage kümmern u. sich mit Ihnen in Verbindung setzen.
    „Schaun wir mal…“
    Irgendwie traue ich mich aber gar nicht mehr, das Ding wieder in Betrieb zunehmen, nachdem ich es „zerlegt und stillgelegt habe“.
    Werde mir wohl eins einer anderen Marke zulegen.

  13. Christian sagt:

    Das GS 195 scheint auch nicht betroffen zu sein. Das habe ich hier gerade gecheckt. Letzte Woche sogar noch ein Update gemacht. Scheint sauber zu sein !

  14. Volko sagt:

    Nachdem ich Gigaset am Gründonnerstag, 01.04.2021 gegen 13 Uhr telefonisch über den wiederkeherenden Befall mit Schadsoftware von zwei der vier bei uns in der Familie in Betrieb befindlichen GS180 informiert und auf den Thread im Google-Supportforum hingewiesen hatte und Herrn Born dann am Karfreitag Abend per E-Mail auf den Sicherheitsvorfall hingewiesen habe und aufgrund seines Blog-Artikel das ganze Ausmaß des Hacks immer mehr zu Tage tritt, habe ich heute nochmals telefonisch Gigaset, als auch die Hotline des BSI in der Sache kontaktiert; Fazit: erschreckend!

    – dem Gigaset Mitarbeiter in der Hotline, war zum Zeitpunkt meines heutigen Anrufs von Seiten der höheren Support-Ebenen lediglich mitgeteilt worden, dass der Vorfall derzeit untersucht werde, aber – so wie ich es verstanden habe – angeblich keine Kundendaten von den Kriminellen erbeutet wurden. … Meiner Meinung nach lassen diverse Kommentare hier im Blog durchaus andere Rückschlüsse zu! Also offensichtlich scheint man bei Gigaset die Brisanz der Lage bis heute Vormittag nicht öffentlich eingestehen zu wollen; ein Fall von hochgradiger Merkbefreitheit und Beratungsresistenz?! … dem Mitarbeiter in der Telefonhotline mache ich ausdrücklich KEINEN Vorwurf! Fakt ist jedenfalls, dass Gigaset bereits am Donnerstag Nachmittag Kenntnis von einer bestehenden Sicherheitsproblematik hatte, ohne sich vielleicht des Ausmaßes bewusst zu sein. Dann aber ohne weitere Beobachtung der Situation einfach in das lange Osterwochenende zu gehen, ist meines Erachtens skandalös!

    – laut telefonischer Auskunf der BSI Hotline heute morgen, ist man gerade dabei Informationen über den Vorfall zusammenzutragen und bat mich, mich ggf. heute Nachmittag nochmals telefonisch zu melden oder mich auf der Interseite des BSI zu informieren! Das ist gelinde gesagt doch wohl ein schlechter Scherz! Wenn das Lagezentrum des BSI seit Ostersonntag aufgrund der Meldung von Herrn Born Kenntnis über den Sicherheitsvorfall hat und man heute, am Dienstagvormittag immer noch keine Warnung auf der eigenen Webseite hat, kann man sich so ein Lagezentrum ehrlich gesagt auch sparen; wozu braucht man so ewtas, wenn nicht für genau diesen Fall!?

    • aoikitsune sagt:

      Verstehe ich das richtig? Stand jetzt sind die Update-Server von Gigaset immer noch online? Normalerweise würde doch jeder halbwegs seriöse Laden schon längst die Server offline genommen haben um die Lage zu untersuchen. Oder nicht?

      • Volko sagt:

        … ob die Server heute Vormittag bereits abgeschaltet waren bzw. mittlerweile abgeschaltet wurden entzieht sich leider meiner Kenntnis …

  15. Bolko sagt:

    „Wartungsarbeiten“ steht auf der Gigaset-Forum-Seite:
    h**ps://www.gigaset.com/de_de/cms/csp/de/wartungsarbeiten-forum.html

    Vielleicht löschen die jetzt die vielen Beschwerden aus ihren Foren.

  16. Jörg sagt:

    Hallo,
    Update zu meiner Meldung von heute Vormittag.
    Habe mir neues Telefon “ Redmi 9C “ von Xiaomi bei Expert gekauft und neu eingerichtet
    Habe jetzt über WhatsApp mehrere Anfragen von der Nummer +2348135338101 bekommen ob ich sie „rekrutiert“ habe.
    Also wurden Daten von meinem Telefon abgegriffen und weiterverwendet.
    Mal sehen was noch kommt

  17. Bolko sagt:

    Nahe dran an „fubar“ (fucked up beyond all repair).

    Aber es gibt ganz sicher einen Weg, der immer funktioniert:
    EDL-Mode mittels Reset der Test-Points auf der Platine.

    Jedes Smartphone hat auf der Hauptplatine zwei blanke Stellen, die sogenannten „Test Points“. Schließt man die kurz, dann gelangt man in den „EDL-Mode“ und kann dann darüber eine frische Firmware-flaschen,

    Das funktioniert selbst dann, wenn kein anderer Weg mehr funktioniert und das Gerät eigentlich gebricked ist.

    Die Probleme dabei sind:

    1. Die genaue Lage dieser beiden Test-Points herauszufinden, denn die sind bei jedem Modell anders. Fotos der Platine mit den markierten Testpoints gibt es oft im Netz zu finden.

    2. eine genau passende Firmware des Herstellers zu bekommen.

    3. Man muss wirklich sehr genau wissen, was man wie machen muss.
    Das ist definitiv nichts für Laien.

    Diese Methode muss deshalb funktionieren, weil auf diese Weise auch in der Fabrik die Firmware ins Handy kommt.

  18. Bolko sagt:

    Falls man die com.redstone.ota.ui gelöscht hat und sie wieder braucht, gibt Malwarebytes einen Tipp dazu:

    To periodically check for system updates, you will need to re-install Update. You can reinstall with this command:

    adb shell pm install -r –user 0 /system/priv-app/ThirdPartyRSOTA/ThirdPartyRSOTA.apk

    https://forums.malwarebytes.com/topic/272474-malware-in-system-partition/?do=findComment&comment=1449361

    OTA = Over-the-Air-Update

    Da steht aber im Pfad:
    /ThirdPartyRSOTA/

    Also ist bei Gigaset die zentrale Update-App gar nicht aus dem eigenen Haus, sondern stammt von einem Dritten.
    Offensichtlich hat Gigaset nichtmal den Updater selber programmiert und vom Android-Hersteller Google stammt der auch nicht.
    Sowas sollte ein seriöser Konzern nicht machen, denn dann hat er die Kontrolle verloren.
    Sowas muss man als fahrlässig einstufen und ist ein Sicherheitsrisiko.

    • aoikitsune sagt:

      Zum Thema Firmware-Updater hat ein Kommentator im CB-Forum einen interessanten Link zum offiziellen Gigaset-Blog gepostet.

      https://www.computerbase.de/forum/threads/malware-angriff-gigaset-smartphones-mit-schadsoftware-infiziert.2015549/post-25499407

      Was Gigaset dort schreibt ist der blanke Hohn für jeden Betroffenen.

      • Bolko sagt:

        Jetzt muss man unbedingt herausfinden, auf welchen Smartphone-Modellen welcher Hersteller ebenfalls dieser Updater der Firma Adups vorinstalliert ist, denn da droht ja genau das selbe Problem wie bei Gigaset.
        Laut Aussage von Gigaset läuft der Adups-Updater auf 1 Milliarde Smartphones und die kann Adups also per Knopfdruck ins Nirvana schicken bzw ein ganz böses Botnetz aufbauen.

      • Bolko sagt:

        Im Adups-Updater wurden Backdoors gefunden:
        h**ps://www.chinamobilemag.de/news/erneut-backdoor-in-adups-fota-gefunden.html

        Dieser Adups-Updater gilt normalerweise selbst als Malware:
        „Nicht löschbare Malware auf fabrikneuen Smartphones in den USA entdeckt“
        h**ps://www.zdnet.de/88375787/nicht-loeschbare-malware-auf-fabrikneuen-smartphones-in-den-usa-entdeckt/

        „Adups-Backdoor spioniert immer noch und wird schlimmer“
        h**ps://winfuture.de/news,101152.html

        Im Grunde ist also jedes Handy, dass diesen Adups-Updater vorinstalliert hat (das sind 1 Milliarde Geräte), ebenso potentiell betroffen wie Gigaset.

        Die Chinesen könnten also per Knopfdruck alle diese Handys blitzschnell lahmlegen oder in ein feindliches Botnetz umwandeln.

        Sowas ist eine geniale Waffe für einen Cyberkrieg.

        Da muss ich mal flott mein eigenes Smartphone auf Adups analysieren und die App deaktivieren.

        • Günter Born sagt:

          Lasse mir einen Hinweis zukommen, wenn Du fündig geworden bist.

          @Volko und Betroffene von Gigaset: Würde mich interessieren, ob die App auch da vorhanden ist.

          • Uwe sagt:

            Auf meinem GS4 ist Adups App auch drauf. Kann ich denn jetzt mein GS170 gefahrlos wieder einschalten, da die Update-Server aus sind? Wurde man auch infiziert, wenn man Auto-System-Update deaktiviert hatte?

        • Bolko sagt:

          Bei meinem „Xiaomi Redmi Note 6 Plus“ ist kein Adups FOTA installiert.

          Als Updater bei Xiaomi gibt es:

          „Updates“ = com.android.updater
          (also der originale Updater von Google-Android)
          v 6.0.0

          „Update für System-Apps“ = com.xiaomi.discover
          v 20.9.21.503

          In der Liste der System-Apps gibt es auch kein Adups.

          Weder Malwarebytes noch „Sophos Intercept X“ finden Probleme.
          Wäre Adups installiert, dann würden beide Programme das finden.

          Adups gibt es auf jeden Fall bei den Herstellern:
          Blu, UMI, ZTE

          Huawei hingegen hat sich übrigens schon vor 5 Jahren auch ausdrücklich von Adups distanziert und kategorisch jede Zusammenarbeit ausgeschlossen.

  19. Peter sagt:

    Mein GS 170 ist auch infiziert.
    Eine Frage an alle Experten:
    Wenn ich mir ein neues Smartphone ( kein Gigaset) zulegen,kann ich dann zum neu einrichten die Sicherung auf Google Drive verwenden oder lad ich mir da die Malware gleich wieder mit
    runter.Vorab Danke für eine Antwort !

  20. Jörg sagt:

    Hallo,
    neues Update zu meinen gehackten GS 160 und GS 170.
    Bekomme jetzt auf WhatsApp laufen Nachrichten aus Nigeria.
    Also wurden die Telefonnummern geklont.
    Morgen bin ich bei der Polizei und erstatte Anzeige

  21. Claudia sagt:

    Ich habe gs 370 und bin auch betroffen von Malware es geht gar nix mehr.kein Kommentar dazu das Google auch betroffen ist. Bei mir ist tayare der Hauptgrund.

  22. Michaela sagt:

    4 x GS270 ——- 2 sind betroffen, 2 nicht .
    Am Oster SO waren 7 neue Apps installier die immer wieder kamen. WA gesperrt.
    Sofort Internet mit Werbung. Handys auf Flugmodus, schädliche Apps entfernt und Gerät abgeschaltet. Heute 7.April 23.00 hochgefahren Flugmodus aus, und nach ca 20 min meldet sich Playstore mit com.yhn4621.ujm0317 schädlich. Schöner Mist.
    Das Werkseinstellung was bringt, glaube ich nicht. Denke die Gigasetsurfer sind heute sauber ? Also FAZIT der Spuk bleibt und kommt wo anders her.
    Handy ist immer noch grottenlangsam…..
    Morgen probiere ich Werkseinstellung, schaumer mal .🤔

  23. Frauke sagt:

    Ich bin auch betroffen und wurde ständig auf WhatsApp gesperrt und wieder frei geschaltet und wieder gesperrt. Ich hatte auf WhatsApp auch plötzlich neue Kontakte aus Brasilien (+55) und Malaysia (+60). Norton Antivirus, den ich bereits installiert hatte, erkannte eine Überwachungssoftware und Maleware, die ich dann gelöscht hatte. Die Maleware kam immer wieder und Norton Antivirus erkannte die Maleware immer wieder. Auf jeden Fall bin ich keine Expertin, aber ich wusste, dass natürlich den älteren Smartphones wegen der Sicherheit nicht ganz zu trauen ist und daher habe ich überhaupt gar keine wichtigen Daten darauf gehabt. Ich habe auf meinen WhatsApp Status ein Schweinchen (Glück gehabt!) gepostet und die Cyberkriminellen haben mir doch tatsächlich ein Schweinchen zurück geschickt über eine der oben genannten Adresse. Ich warte ab bis Gigaset klare Informationen herausbringt.

  24. Bernd sagt:

    Auf der Service-Homepage von Gigaset ist ein Lösung aufgezeigt (https://blog.gigaset.com/lmas/)
    Hat die schon jemand ausprobiert, und ist das Problem dann behoben?
    Ich möchte ungern mit dem Smartphone wieder online gehen, da absolut ungewiss ist, inwieweit Heim-Wlan-Netze infiziert werden bzw. wurden

  25. Walter sagt:

    GS170 mit com.redstone.ota.ui inaktiv, und alle malware entfernt : wieder internet erlauben genügt für wieder :
    – installation von malware wie Tayase, BBQ* usw. Aber smart und xiauan nicht mehr (vorher mit com.redstone.ota.ui) . Ich habe dem eindruck das Google Play jetzt auch involviert ist
    – „nicht stören“ aktiv
    – gamepage in Vivaldi browser
    – langsam
    – black-screen (nur buttons sichtbar)
    – usw

    Also : es ist NICHT in ordnung, weit davon

    Ich fange an zu glauben das es keine lösung geben wird das meinen GS170 wieder 100% in ordnung bringt

    PS: Habe es erst versucht mit com.redstone.ota.ui aktiv

  26. Bernd sagt:

    Hallo zusammen,
    Auf der Service-Homepage von Gigaset ist ein Lösung aufgezeigt (https://blog.gigaset.com/lmas/)

    habe die o.g. Lösung ausprobiert.
    zuerst das GS170 auf Werkseinstellungen zurückgestellt, Speicherkarte gelöscht
    dann alles von vorne eingespielt.
    Jetzt läuft das GS170 ohne Fehler und Virus wurde nicht gefunden.
    Alle Apps neu installiert und laufen.
    Gruss, Bernd

  27. Manuela sagt:

    Hallo zusammen,
    wie seht ihr das? Mein GS270 war nicht betroffen. Dennoch bin ich nun verunsichert, wie sehr man dem ganzen vertrauen kann. Das GS170 meiner Mutter ist betroffen, ich hab ihr ein Iphone 8 nun besorgt. Bin unsicher ob ich die SIM jetzt in das infizierte GS170 einlegen soll um es zu säubern. und vor allem wie sicher ist es danach?

    • Günter Born sagt:

      Warum SIM einlegen, um zu säubern? Was klappen kann: SIM raus (um WhatsApp-Missbrauch etc.) zu verhindern. Gerät an Ladekabel, und falls möglich, am Gast-Zugang des WLAN-Routers ins Internet lassen. Dann hoffen, dass der von Gigaset angegebene automatische Update-Vorgang die Malware-Infektion restlos zur Installation eines Image beseitigt. Nach erfolgreicher Aktualisierung eine Antivirus-App installieren, um wenigstens über Malwarebefall informiert zu werden. Dann SIM ggf. verwenden, sich aber bewusst sein, dass deren zugeordnete Telefonnummer verbrannt ist. Falls ich was übersehen habe, können Mitleser ja ergänzen.

      • Gerold sagt:

        Für WhatsApp brauchts keine SIM-Karte, die Datenverbindung geht dann über das WLAN.

        • Günter Born sagt:

          Hm, wie erfolgt denn die Zuordnung zu Telefonnummern? Über die frühere Telefonnummer? Ich habe seit 2018 kein WhatsApp mehr – aber mein letzter Wissensstand war, das eine Telefonnummer zugeordnet werden musste. Ich habe den Text jetzt so erweitert, das die Apps für WhatsApp und SMS vorsorglich deaktiviert oder sogar deinstalliert werden sollten.

          • Gerold sagt:

            Bei WhatsApp ist die Telefonnummer der Benutzername, bei der WhatsApp Anmeldung wird eine SMS mit Bestätigungscode geschickt.

            Beispiel: Jemand hat ein einfaches Handy für Telefonie und SMS. Alle Freunde haben WhatsApp das will ich jetzt auch. Ich kaufe mir ein Tablet (kein iPad, WhatsApp kann da nicht installiert werden, geht aber über Browser) und betreibe es ohne SIM-Karte, die Datenverbindung geht über WLAN. Ich installiere auf dem Tablet WhatsApp und gebe meine Mobilfunknummer ein. Die SMS landet auf dem Handy und auf dem Tablet gebe ich den Bestätigungscode ein und WhatsApp funktioniert.

            WhatsApp geht auch mit Festnetznummer, die SMS-Zustellung scheitert, dann erscheint in WhatsApp ein „Mich anrufen“, antippen, dann gibts einen Anruf mit dem gesprochenen Freischaltcode.

            Ist auf einem Smartphone WhatsApp installiert und aktiviert ist nur eine Datenverbindung notwendig.

      • Manuela sagt:

        Ok vielen Dank. Dann muss ich erst Gastzugang einrichten.
        Dann sollte man vorsichtshalber eine neue SIM sich zulegen, auch wenn keine whatsapp Nachrichten kamen?
        Sie verwendet die alte SIM im Iphone jetzt.

  28. Michaela sagt:

    Gigaset hack.
    So da bin ich wieder
    GS270 Daten Bilder usw gesichert.
    Gerät ist im Flugmodus. Simkarte und Speicherkarte entfernt.
    Fritzbox neue Passwörter vergeben, Gastzugang eingerichtet.
    Handy auf Werkseinstellung zurückgesetzt. Hat ewig gedauert.
    Ohne SIM Karte Wlan Gastzugang zugelassen. Virenprogramm drauf.
    3 Std liegen gelassen. Es passiert nichts. Jetzt die Simkarte rein.
    Wir stehen bei android 8.1.0 Stand Sicherheitsupdate 5.7.2020.
    Automatischer Update ist aus. Also Update anfordern.
    Es erscheint Neue Version GIG_GS270_plus_S140
    Größe 61,23MB
    Neue Software Information
    1.Neuer Google Sicherheitsupdate Stand: oct2020
    2.FOTA APK aktualisieren

    Da gibt es im Netz verschiedene Angaben zu FOTA von nix bis gefährlich.
    Ich habe den Update abgebrochen
    Und hoffe das jemand was aussagekräftiges dazu sagen kann.
    Danke schon mal.

    • Bolko sagt:

      FOTA heißt:
      Firmware Over The Air (FOTA) Updater

      Vorher war das der REDSTONE und dessen Server waren oder sind verseucht.
      GIGASET ersetzt jetzt den FOTA durch denjenigen von ADUPS.
      Das musst du zulassen, sonst kann die Reparatur nicht funktionieren, denn die weiteren Updates sollen laut GIGASET von ADUPS geholt werden und eben davor muss der alte Redstone raus und der neue Adups rein.

      • Michaela sagt:

        Vielen Dank
        Erst mal durchatmen ….

        • Michaela sagt:

          Info
          mein GS270plus läuft nach der Prozedur seit gestern ohne Probleme. Habe allerdings ein neues google Kto eingerichtet und kein Whatsapp mehr installiert.
          Handynummer der alten Simkarte geprüft mit
          Email und Handynummer LEAK.
          Ich hab mal geschaut.
          Angefangen hat es mit
          Tayase, gem, Smart, com.yhn4621.ujm0317,
          easenf und xiaoan.
          Bis jetzt alles normal keine Auffälligkeiten und der Akkuverbrauch ist auch wieder normal.

  29. Hausmann sagt:

    Guten Morgen!
    Unsere Familie hat 2 Gigaset GS180 in Betrieb. Auf beiden Geräten waren mit Sicherheit easenf, xiaoan, gem und smart aktiv. Begonnen hat es meiner Erinnerung nach mit easenf. Ich habe diese Apps immer wieder deinstalliert. Später traten nur noch die letzten 3 immer wieder auf. Jetzt ist Ruhe. Ein neues Update von GigaSet kann ich aber trotz befolgter Anweisung (über Nacht 8Std. usw) nicht erkennen. Wenn ich „AUF UPDATES PRÜFEN“ gehe, wird mir diese Version (GS180_HW1.0_03092020_V14) als aktuell ausgewiesen. Die hatte ich aber auch schon vor dem Malwarebefall.
    Stand ist auf beiden Geräten Android Vers. 8.1.0, Stand Sicherheitsupdate 5.3.2020, Build-Nr GS180_HW1.0_03092020_V14
    Woran erkenne ich, dass es ein neues Update von GigaSet gegeben hat?
    Können durch die Malware das W-Lan Netzwerk in dem die Handys eingelogt waren und sind Malware auf die anderen PCs die mit dem Netzwerk verbunden sind übertragen worden sein?
    Wer kommt für den Schaden auf?
    Kann man GigaSet verklagen?
    Gruß HH

Schreibe einen Kommentar zu Winfried Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.