Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)

Von der Firma Gigaset wurde am Nachmittag des 8. April 2021 eine Pressemitteilung zum Malware-Befall diverser Android-Geräte herausgegeben. In der Anleitung werden auch Hinweise gegeben, wie Betroffene ihre Geräte vom Malwarebefall säubern können sollen. Da aktuell im Blog zig Kommentare der Art "schon gesehen, es gibt eine Anleitung, wie man die Geräte rettet, hat das schon jemand probiert" oder ähnlich erscheint, veröffentliche ich hier vorab eine kurz Information samt dem Text von Gigaset.


Anzeige

Ich hatte es vor einigen Stunden bereits in diesem Kommentar gepostet, dass es eine Information von Gigaset gibt. Ich stelle den Text einfach 1:1 hier ein, gebe aber nachfolgend einige Hinweise.

leider hatten wir gestern keine kommunizierbaren Erkenntnisse, telefonisch erreichen konnte ich Sie auch nicht.

Daher jetzt hier unsere aktuelle Pressemeldung:

Im Rahmen von routinemäßigen Kontrollanalysen ist uns aufgefallen, dass bei einigen älteren Smartphones Probleme mit Schadsoftware aufgetreten sind. Diese Erkenntnis wurde auch durch Anfragen von einzelnen Kunden bestätigt. Wir haben den Vorfall sofort intensiv untersucht und dabei eng mit IT-Forensikern und den zuständigen Behörden zusammengearbeitet. Zwischenzeitlich konnten wir eine Lösung für das Problem identifizieren.

Potentiell betroffen sind ausschließlich ältere Smartphone-Modelle der Baureihen GS100, GS160, GS170, GS180, GS270 (plus) sowie GS370 (plus).

Nicht betroffen von diesem Vorfall sind die Smartphone-Baureihen GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 und GS4.

Nach jetzigem Informationsstand wurden aus den betroffenen Produktlinien nur einige Geräte, bei denen die in der Vergangenheit seitens Gigaset zur Verfügung gestellten Software-Updates nutzerseitig nicht ausgeführt wurden, infiziert. Auf diese Geräte wurde durch einen kompromittierten Server eines externen Update-Service-Providers Schadsoftware aufgespielt.

Gigaset hat umgehend eingegriffen und Kontakt mit dem Update-Service-Provider aufgenommen. Dieser hat unmittelbare Maßnahmen ergriffen und Gigaset gegenüber bestätigt, dass die Infizierung von Smartphones am 7. April abgestellt werden konnte.

Es wurden Maßnahmen getroffen, um infizierte Geräte automatisch von der Schadsoftware zu befreien.

Dazu müssen die Geräte mit dem Internet verbunden sein (WLAN, WiFi oder mobile Daten). Wir empfehlen zudem, die Geräte an das Ladegerät anzuschließen. Betroffene Geräte sollten binnen 8 Stunden automatisch von der Schadsoftware befreit sein.

Alternativ steht Nutzern die manuelle Prüfung und Bereinigung ihrer Geräte zur Verfügung. Gehen Sie hier bitte wie folgt vor:

Prüfen Sie, ob Ihr Gerät betroffen ist

  1. Prüfen Sie Ihre Software-Version. Die aktuelle Software-Version lässt sich unter „Einstellungen" à „Über das Telefon" unten unter „Build Nummer" ablesen
  2. Ist Ihre Software-Version niedriger oder gleich der unten genannten gefetteten Versionsnummern, ist Ihr Gerät potentiell betroffen

GS160            alle Softwareversionen

GS170                 alle Softwareversionen

GS180                 alle Softwareversionen

GS100                 bis zu Version GS100_HW1.0_XXX_V19

GS270                 bis zu Version GIG_GS270_S138

GS270 plus        bis zu Version GIG_GS270_plus_S139

GS370                 bis zu Version GIG_GS370_S128

GS370 plus        bis zu Version GIG_GS370_plus_S128

Deinstallieren Sie die Schadsoftware manuell

  1. Starten Sie das Smartphone
  2. Prüfen Sie, ob Ihr Gerät infiziert ist, indem Sie unter „Einstellungen" à „App" prüfen, ob eine oder mehrere der folgenden Apps angezeigt werden:
    • Gem
    • Smart
    • Xiaoan
    • easenf
    • Tayase
    • com.yhn4621.ujm0317
    • com.wagd.smarter
    • com.wagd.xiaoan
  1. Sofern Sie eine oder mehrere der oben genannten Apps finden, löschen Sie diese bitte manuell.
    • Öffnen Sie die Einstellungen (Zahnrad-Icon).
    • Tippen Sie auf Apps & Benachrichtigungen.
    • Tippen Sie auf App-Info.
    • Tippen Sie die gewünschte App an.
    • Klicken Sie auf den Deinstallieren-Button.
  2. Prüfen Sie nun erneut, ob sämtliche der oben genannten Apps deinstalliert sind. Falls die Apps immer noch vorhanden sind, kontaktieren Sie bitte den Gigaset Service unter +49 (0)2871 912 912 (Zum Festnetztarif Ihres Anbieters).
  3. Sollten keine der genannten Apps mehr installiert sein, empfehlen wir, sämtliche für Ihr Gerät zur Verfügung stehenden Software-Updates durchzuführen.

Wir bitten um Entschuldigung für die entstandenen Unannehmlichkeiten und halten Sie über weitere Entwicklungen informiert.

Positiv ist, dass die Information veröffentlicht wurde – zur Angabe "telefon. nicht zu erreichen" sagt meine Fritz!Box "kein Anruf unter dieser Nummer". Leider war es mir nach Erhalt der Pressemeldung nicht möglich, die betreffende Person bei Gigaset zu kontaktieren, um die hier aufgekommenen zahlreichen Fragen zu klären.

Ich habe mir zudem die Freiheit genommen, nach Erhalt der obigen Zeilen eine Stunde spazieren zu gehen und nachzudenken. Denn ich bin so gar nicht sicher, das und ob der Abschnitt zum Deinstallieren der Schadsoftware ausreicht. Es wird von mir in den kommenden Stunden eine  Aufbereitung dessen geben, was der obige Text transportiert, gespiegelt an dem, was hier an Informationen und Fragen aufgekommen ist. Die beiden Beiträge sind jetzt online, siehe die nachfolgenden beiden Links zu den Analysen und Handlungsoptionen.

Ähnliche Artikel:
Gigaset Android-Update-Server liefern vermutlich Malware aus
Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)
Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten
Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021)
Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware
Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)

Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1
Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 2
Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)
Gigaset-Malwarebefall und das WhatsApp/SIM-Problem


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, Sicherheit, SmartPhone abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

38 Antworten zu Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)

  1. Cobi sagt:

    Sehr geehrter Herr Born,
    etwa 1/2 Stunde nachdem Sie die Nachricht von Gigaset gepostet hatten, habe ich die o.a. Malware erneut von meinen GS170 deinstalliert. Und 1/4 Stunde später war Tayase wieder 'drauf. Entweder der Server spuckt immer noch, oder mein GS170 installiert nun selbstständig nach, aber warm wird es gerade nicht mehr…
    Im Allgemeinen habe ich eine hohe Fehlertoleranz (Shit happens nunmal), aber ich werde nicht gerne an der Nase herumgeführt… und auch nicht gerne beschuldigt, Fw-Updates versäumt zu haben.

    • Günter Born sagt:

      Ich bereite gerade einen Blog-Beitrag vor – dauert aber etwas. Es gibt zu viele Ungereimtheiten an der Gigaset-Meldung, die ich gerne aufzeigen möchte. Danke für den Hinweis.

      Zum "Im Allgemeinen habe ich eine hohe Fehlertoleranz (Shit happens nunmal), aber ich werde nicht gerne an der Nase herumgeführt… und auch nicht gerne beschuldigt, Fw-Updates versäumt zu haben." nur so viel:

      – im besten Fall sind die Leute bei Gigaset Opfer des immensen Drucks
      – im schlimmsten Fall glauben oder hoffen die Leute bei Gigaset, dass es gut geht

      Da möchte ich persönlich nicht drüber urteilen. Zum 2. Punkt: Ich drücke die Daumen, dass es für die meisten Nutzer gut geht – hege aber so meine Zweifel. Ich möchte das aber sauber aufbereiten und auch mit Fakten oder zumindest Quellen für Widersprüche belegen.

      Zum versäumten Firmware-Update ging mir beim Nachdenk-Spaziergang ein ganz bestimmter Post eines Firmenadmins durch den Kopf, den ich heranziehen und die Gigaset-Aussage zumindest mit einem Fragezeichen versehen möchte.

    • Bolko sagt:

      Säuberung sollte im Recovery-Modus und dann über adb erfolgen, denn sobald das Smartphone normal gestartet wurde, sitzt da vermutlich ein Updater-Team im Speicher, wo dann jeweils fehlende Teile nachinstalliert werden, sobald der User einen Teil davon löscht.

      Man muss offline säubern (keine SIM, kein WLAN) und am besten auch wo das eigentliche Betriebssystem nicht läuft, sondern nur das Rettungssystem (Recovery).
      Also Entwicklermodus ein, USB-Debugging ein, Kaltstart und beim Einschalten Lautstärke-Taste gedrückt halten, recovery, ADB, mit USB-Kabel mit PC verbinden und am PC die ADB-Befehle zum Säubern benutzen.

      Es kann sogar sein, dass die Schädlinge inzwischen gar nicht mehr aus dem Internet gezogen werden müssen, sondern bereits auf einer der vielen Partitionen irgendwo versteckt sind und von dort dann zurück geholt werden.
      Man weiß aber weder wo die sind, noch wie die heissen.

      Man braucht ein sauberes Referenz-Image, aber sowas sehe ich bisher nirgendwo.

  2. Frigru sagt:

    Hallo allerseits,
    was Cobi sagt, ist mir in gleicher Weise passiert. Definitiv waren alle in der Stellungnahme von GIGASET genannten Apps deinstalliert. Die Update.apk hatte ich schon vor 2 Tagen mit "adb shell pm uninstall -k –user 0 com.redstone.ota.ui" deinstalliert. Trotzdem taucht Tayase wieder auf. Zum Thema Firmware-Update: auf meinem GS170 ist der Stand der Sicherheitsupdates vom 5. November 2018. Meines Wissens gab es danach keines mehr. Bin mir jetzt nicht sicher, ob ohne update.apk der von GIGASET beschriebene Weg der automatischen Fehlerbehebung überhaupt geht? Notfalls auf Werkseinstellungen zurück.
    Herrn Born herzlichen Dank für seinen Einsatz!

  3. Bolko sagt:

    Woher will GIGASET denn jetzt eigentlich wissen, welche Programme (und Spiele) nachgeladen worden sind?

    GIGASET hat doch gar keinen Zugriff auf die Supply-Chain 2 (SC#2) des easenf (Browser-Hijacker) oder der anderen 7 unerwünschten Tools, die ihrerseits aus unbekannten Listen irgendwelche "Probleme" nachladen. Diese "Probleme" können ja auch durchaus von Smartphone zu Smartphone und je nach Zeit unterschiedlich sein und randomisiert sein.
    Das sieht man auch daran, dass nicht jeder betroffene User die selben Fake-Spiele zwangsinstalliert bekam.

    GIGASET hat doch inzwischen lediglich Zugriff auf die Supply-Chain 1 (SC#1) des primären Updaters (redstone) und kann so bestenfalls die Primär-Schädlinge erkennen, aber eben nicht, was diese ihrerseits dann geholt haben.

    Wie soll die Reparaturfunktion von GIGASET erkennen können, welche Spiele vom User absichtlich im sauberen Zustand installiert wurden und welche Spiele (oder sonstwelche Tools) im kompromittierten Zustand ohne Einwilligung des Users installiert wurden?

    Gehen die nach Installationsdatum?
    Das kann man fälschen.
    Ignoriert GIGASET dieses Problem?

  4. Rosemarie T. sagt:

    Ich lese mit Begeisterung den Blog und die Kommentare, verstehe aber als Mensch aus der Vorkriegszeit nicht mal die Hälfte.
    Ich will aber keine Grüße aus Kuweit, Mexiko oder Brasilien und habe daher mein GS107 endgültig stillgelegt und meinen Simkartenvertrag gekündigt und werde zu Nokia wechseln.
    Ich wünsche allen viel Geduld im Kampf mit den Windmühlenflügeln der Firma Gigaset und werde weiter alles verfolgen.

  5. Bolko sagt:

    Die Funktion des Ein-/ Aus-Schalters wurde eventuell umgebogen, so dass ein normales Ausschalten gar nicht mehr funktioniert.
    Das Smartphone bleibt also eingeschaltet und verhindert eventuell einen Kaltstart !
    In so einem Fall muss man den Akku entfernen und dadurch einen Kaltstart erzwingen, beim Einschalten allerdings gleichzeitig die Lautstärketaste und Powertaste gleichzeitig gedrückt halten, um in den Recover-Modus zu gelangen und dann dort mittels adb säubern (allerdings reicht dann die Entfernung der 8 von GIGASET aufgelisteten Tools nicht mehr aus, denn offensichtlich wurde ein weiteres Systemtool zur Tastensteuerung ausgetauscht, dessen Namen wir noch nicht kennen).

    Nahe dran an fubar (fucked up beyond all repair).

    Siehe Kommentar von Anne:
    https://www.borncity.com/blog/2021/04/04/neues-zum-gigaset-android-smartphone-malware-befall/#comment-104858

    • Bolko sagt:

      Kann natürlich auch sein, dass die Power-Taste jetzt zufällig einfach nur defekt ist, aber in so einer Situation kann und darf man sich nicht darauf (Hardwaredefekt) verlassen, sondern man muss der Vorsicht halber davon ausgehen, dass die Tastensteuerung manipuliert worden ist.

      Scheinbar abgeschaltete Smartphones arbeiten dann als Wanze und Malwareschleuder weiter, auch wenn der Bildschirm aus ist.

  6. SRiHo sagt:

    Hallo,
    habe Gigaset 160.
    Apps sind jetzt "weg", ohne das ich diese manuell deinstalliert habe. Tayase hatte ich vorher und jetzt nicht gefunden. Habe aber nach wie vor beim Öffnen von Google Chrome die "automatische Umleitung" auf die website "hastopic Punkt com".

  7. kj070 sagt:

    Ich gehöre nicht zu den Betroffenen, aber was mir hier sehr sauer aufstößt ist:

    "Dazu müssen die Geräte mit dem Internet verbunden sein (WLAN, WiFi oder mobile Daten). "

    Hääää? Ein kompromittiertes System auf dem sich noch Daten befinden soll in das Internet gehängt werden? Ja geht's noch???
    Das ist für mich der Aufruf zu einer Straftat (auch wenn ich jetzt kein Jurist bin) – von wegen auch Problematik mit DSVGO wenn das ein Firmenhandy ist.

    Sorry Gigaset – das geht gar nicht! – diese Firma hat jetzt endgültig bei mir Boden verloren.

  8. Cobi sagt:

    Auf meinem GS170 installiert sich inzwischen wiederholt "AppSettings". Ich meine, das ist neu.

  9. Bolko sagt:

    Das bedeutet also auch entweder:

    a) Der Updater von GIGASET benutzt gar keine Signaturprüfung und installiert einfach alles

    oder

    b) GIGASET hat den normalerweise geheimen (privaten) Signaturschlüssel an den ersten (älteren) Drittanbieter rausgegeben, damit dieser dann jede beliebige Software damit signieren kann und der Updater im Smartphone erkennt dadurch die Software des Drittanbieters als diejenige von GIGASET, auch dann, wenn die gar nicht von GIGASET stammt.

    Das ist sicherheitstechnisch katastrophal in beiden Fällen, weil dann der Drittanbieter die volle Kontrolle über das Smartphone hat.

  10. Bolko sagt:

    Damit die automatische Reparatur überhaupt eine Chance auf Erfolg haben kann, muss man natürlich jetzt den System-Updater com.redstone.ota.ui neu installieren, falls man den vorher manuell deinstalliert hatte.

    Das soll laut Malwarebytes so funktionieren:
    adb shell pm install -r –user 0 /system/priv-app/ThirdPartyRSOTA/ThirdPartyRSOTA.apk

    h**ps://forums.malwarebytes.com/topic/272474-malware-in-system-partition/?do=findComment&comment=1449361

    Anschließend muss man dem Smartphone bzw GIGASET auch etwas Zeit geben, um die Updates zur Bereinigung zu holen.

    Das allerdings ist an sich natürlich auch riskant, weil die Schädlinge ja derweil weiter arbeiten und Nachrichten verschicken und neue Schadsoftware runterladen und installieren etc.

    Aua Aua,
    Viel Glück, kann ich da nur wünschen.

    Ein sauberes Referenz-Image zum manuellen Download und manuellem Install wäre da wohl deutlich besser.

    • Bolko sagt:

      Re-Installation des OTA-Updater auf einem GS270:
      adb shell pm install -r –user 0 /system/app/Rsota/Rsota.apk

      statt
      adb shell pm install -r –user 0 /system/priv-app/ThirdPartyRSOTA/ThirdPartyRSOTA.apk

      Redstone hatte also auch mal das Installations-Paket seines OTA-Updaters umbenannt.

  11. MrWinterbottom sagt:

    Ich glaube, ich stecke in einem Bootloop. Die MalwareApps waren weg, danach habe ich die Aktualisierung gestartet, jetzt sehe ich seit 30 Minuten ein orangefarbenes "Gigaset" auf dem Display. Ist das der Anfang der 8 Stunden? GS 270.

    • Manfred sagt:

      Habe die MalwareApps auch gelöscht, danach Update gestartet.
      Download wurde gestartet und nach 20 min gab es einen Neustart.
      Dann kam der "Gigaset" Schriftzug, habe ca. 2 Std. auf eine weitere Reaktion gewartet, ……leider nichts passiert.
      Ausschalter war ohne Funktion, habe dann den Akku entfernt und nach Neustart wieder nur "Gigaset" auf dem Display und keine Funktion des Ausschalters.
      Fazit: Handy wird Elektroschrott, und Simkarte wird erneuert!!! Gigaset GS160

      • Bolko sagt:

        Wirf das Handy nicht weg, sondern behalte es als Beweis für die Schadenersatzklage.

        Gigaset hat dein vorher voll funktionsfähiges Smartphone zerstört und muss dir jetzt ein voll funktionsfähiges Smartphone als Ersatz schenken (du solltest auch nicht auf den lächerlichen 15 Prozent Rabat eingehen, den Gigaset dir anbietet) PLUS Schadenersatz für die höheren Mobilfunkkosten, die die Schädlinge verursacht haben PLUS eine Unkostenpauschale oder ein Geschenk zur Wiedergutmachung.

        Sollte Gigaset das nicht akzeptieren, dann die Samthandschuhe ausziehen und richtig Rabatz machen.

      • Phil sagt:

        Wie habt ihr beiden denn die Aktualisierung bzw. das Update "gestartet"? Das klingt so, als ob ihr das über irgendwelche Einstellungen gemacht habt, aber laut Blogeintrag soll das ganze doch automatisch losgehen, sobald das Handy mit dem Internet verbunden ist…(?)

        Ich hab jetzt vor ca. 20 Minuten nach mehreren Tagen im Flugmodus wieder das Handy mit dem Internet verbunden und warte jetzt die acht Stunden ab und hoffe, dass morgen früh/vormittag ein Fortschritt zu erkennen ist. Bis hierhin ist noch kein merkwürdiges Verhalten zu erkennen, aber ich warte mal gepsannt ab… (GS160)

    • Bolko sagt:

      Der Download des Reparatur-Updates ist extrem langsam, also muss man lange warten und darf vermutlich nicht zwischendurch das Smartphone abschalten.

      Eventuell muss man wirklich mindestens 8 stunden oder noch viel länger warten.

      10 Minuten Wartezeit für 1 Prozent der Downloadmenge !

      https://www.heise.de/forum/heise-online/Kommentare/Gigaset-Malware-Befall-von-Android-Geraeten-des-Herstellers-gibt-Raetsel-auf/Anleitung-von-Gigaset-erhalten/posting-38689309/show/

      Das deutet dann also auch auf eine große Menge an betroffenen Usern hin, die jetzt alle gleichzeitig das Reparaturupdate runterladen.

      Ein Power-Off, während eine Systemaktualisierung mittels Image durchgeführt wird, bricked (zerstört) das Smartphone.

      Deshalb muss man auch unbedingt das Smartphone am Ladekabel anschließen und das andere Ende des Ladekabels in die Steckdoese stecken.

      • Anonymous sagt:

        Korrigiere mich gerne aber ich bin der Meinung dass erst downgeloaded wird. Da läuft das OS noch ganz normal in der GUI. Bei mir musste ich dann nachdem der Download der 142 fertig war dann noch auf einen Button klicken "Aktualisierung" oder so ähnlich. Dann kam eine Meldung dass etwas entpackt wurde und dann kam der Neustart des Gerätes.

        Dabei kommt dann ein großer Kreis der läuft. Ob das eine Fortschrittsanzeige oder nur eine kleine Animation ist kann ich gar nicht sagen. Darauf habe ich nicht geachtet.

        Ich glaube aber nicht dass in diesem Startscreen gerade Kontakt mit dem Internet besteht und etwas "nachgeladen" wird. Das kann ich mir beim besten Willen nicht vorstellen.

        • Bolko sagt:

          Ja, da hast du recht.

          Der Updater holt sich vermutlich einen Teil der sauberen Partitionsimages (boot, recovery etc), entpackt diese und resettet dann in den Bootloader, der die frischen Partitionsimages in die Partitionen schreibt und dabei die Schädlinge eliminert.

          Aufgrund der eher geringen Downloadgröße (ca 55 MB) vermute ich, dass die Systempartition nicht mit runtergeladen wird., denn das wäre über 4 GB bei einem GS290.

          GIGASET GS290

          boot.img 33.554.432 Bytes

          recovery-e-0.14-q-2021012698290-dev-GS290.img 18.272.256 Bytes

          Android 10 Partitions-Images für ein GIGASET GS290 (gs290android10)
          Bytes Image-Name
          33.554.432 boot.img
          9.044.272 cache.img
          8.388.579 dtbo.img
          1.048.576 lk.bin
          1.048.576 lk2.bin
          3.465.005 logo.bin
          6.492.557 md1dsp.img
          18.547.021 md1rom.img
          15.581 MT6763_Android_scatter.txt
          252.936 preloader_k63v2_64_bsp.bin
          33.554.432 recovery.img
          52.285 spmfw.img
          387.373 sspm.img
          3.758.096.384 system.img
          5.242.880 trustzone1.bin
          12.582.912 trustzone2.bin
          144.280.092 userdata.img
          838.860.800 vendor.img
          19 Datei(en), 4.874.914.693 Bytes

          h**ps://doc.e.foundation/devices/GS290/install

          Welche Partitions-Images befinden sich denn im Reparatur-Paket von GIGASET?

          Vermutlich also nur boot und recovery (18+33 = ca 50 MB), aber sonst keine Partition.
          GIGASET geht also davon aus, das die System-Partition sauber ist?

          • Bolko sagt:

            Vielleicht holt sich das erste Reparaturpaket nur die Recovery-Partition und nachdem diese installiert worden ist, wird in die jetzt saubere Recovery gebootet und dann von dort aus wird der Rest geholt (4 GB Systempartitionsimage), weshalb das dann so lange dauert, während sich scheinbar nichts tut auf dem Bildschirm?
            Vielleicht wir so ein Weg gewählt, weil für das Systempartitionsimage sonst nicht genug freier Speicherplatz im Smartphone vorhanden ist.

            Die Frage ist, ob das Nachladen des großen Systempartitionsimages überhaupt im Recovery-Modus funktioniert?
            Was geschieht zum Beispiel, wenn man das WLAN-Passwort geändert hatte und der Download über die SIM geschehen müsste, aber das Datenvolumen der SIM inzwischen aufgebraucht worden ist?

            Vielleicht denke ich auch zu kompliziert, aber GIGASET hat nicht genug Informationen genannt.

            Deshalb wären trotzdem saubere Partitionsimages für den manuellen Download sehr sinnvoll.

    • MrWinterbottom sagt:

      Anm. Korrektur: GS370. Es hat sich nichts getan. Gigaset-Schriftzug. Tel. startet nicht :-(

      • MrWinterbottom sagt:

        Okay. Half alles nix. Ab ins Recovery und den Werkszustand wieder herstellen. Danach booten und die ganzen Aktualisierungen anwerfen. Bis jetzt läuft alles, keine verdächtigen Apps.

  12. Zocker sagt:

    Mich wundert der Lösungsansatz von Gigaset doch sehr. Ich denke wir sind uns alle einig, dass die (potentiell) betroffenen komplett platt gemacht werden müssen. In diesem Zusammenhang stelle ich mir die Frage, warum Gigaset keine Offlineupdater mit einem kompletten Image anbietet oder zumindest ankündigt. So ein One-Click-Tool, wie es andere Technikhersteller z.B. für Firmwareupdates anbieten. Das Ganze am besten mit dem Hinweis, dieses Tool auch nur offline anzuwenden. Andere Android-Hersteller bieten vergleichbare Software zur Werkswiederherstellung an.

    Gigaset tut derzeit alles um den eigenen Ruf (der ohnehin kaum vorhanden sein dürfte) vollends zu ruinieren. Eigentlich könnten sie es gleich wie LG machen und die Abteilung komplett aufgeben.

  13. Michael G. sagt:

    Besitze ein verseuchtes 270.
    Jetzt habe ich die von Gigaset empfohlenen Schritte durchgeführt:
    Löschen der genannten Dateien und Installation der Aktualisierungen.
    Dabei fiel mir auf, die erste A. stammte vom März 2020.
    Inzwischen bin ich bei S141 vom Januar 2021. Das läuft noch.
    Ich war immer davon ausgegangen, dass die Aktualisierungen automatisch installiert werden.
    Kann das der Grund der Misere gewesen sein?

  14. Bolko sagt:

    Bei einem GS170 hat die Reparatur vermutlich funktioniert.
    Die Startseite im Browser wurde auf google zurück gesetzt.

    h**ps://www.computerbase.de/forum/threads/malware-angriff-gigaset-bietet-zwei-loesungen-an.2015549/page-10#post-25509377

    Ob auch die Einträge in der Benachrichtigungsliste (Notifications) gelöscht wurden ist nicht bekannt.

    Ob die Säuberung inklusive Zurücksetzung der Startseite auch bei anderen Modellen funktioniert ist noch nicht bekannt.

    Ein GS270 plus meldet auch Erfolg:

    h**ps://www.heise.de/forum/heise-online/Kommentare/Gigaset-Malware-Befall-von-Android-Geraeten-des-Herstellers-gibt-Raetsel-auf/Anleitung-von-Gigaset-erhalten/posting-38689309/show/

    • Anonymous sagt:

      Moment, moment, moment!!!!!
      Der Beitrag bei Heise ist von mir. Ich meldete da noch keinen Erfolg!!! Lediglich dass 3 Updates installiert wurden. Auch mir ist aber nicht klar warum die Updates 139, 140 und 142 nicht bisher schon installiert wurden. Es war nichts deaktiviert.

      Der Post dort endet vorläufig mit:

      Nun sagt das System "Ihr System ist derzeit aktuell".
      Und nun???

      Es ist ein Updatestand von Januar 2021 erreicht. Ob dabei nun wirklich auch die Schadsoftware entfernt wurde oder ob das erst im Laufe der Nacht dann in diesen dubiosen 8 Stunden passieren soll weiß ich nicht???

      Und beim 2. Telefon (GS170) hat sich noch gar nichts getan. Gut da wurde das Update auch erst vor ca. 30 Minuten wieder per adb aktiviert.

  15. Luis sagt:

    Gestern habe ich nach der Anleitung von Gigaset mein GS170 von der Malware befreit. Download und Installation gingen recht zügig.

    Heute Morgen verhinderte die Antiviren-App die Installation von com.yhn4621.ujm0317.

    Später fand ich Tayase wieder in den Apps.

    Die Bereinigung hat scheinbar nicht wirklich funktioniert. Irgendwo sind noch Reste der Schadsoftware verankert.

    Das GS170 werde ich stillegen und suche ein neues Smartphone, bei dem die Update-Server "in eigener Hand" sind, sofern das überhaupt der Fall ist.

  16. Nightmare sagt:

    Die Schadsoftware com.wagd.xiaoan.apk nützt ein kompliziertes Botnetz (*ttp://ks7br7.3q03on[.]com:12038/neisdop/) was am 24.11.2020 hier schon sehr gut beschrieben ist – echt empfehlenswert:
    https://web.archive.org/web/20221003133622/https://research.checkpoint.com/2020/enter-wapdropper-subscribe-users-to-premium-services-by-telecom-companies/
    Enter WAPDropper – An Android Malware Subscribing Victims To Premium Services By Telecom Companies

    It sends the information to a hardcoded C&C server, *ttps://ks7br7.3q03on[.]com:12038, which is the main C&C server.

  17. Rhöner sagt:

    Gigaset GS370

    Hallo, nachdem ich vom Gigaset Update erfahren haben, natürlich habe ich kontrolliert Version GIG_GS370_S108, auch Installierte App´s mit der Schadsoftware drauf und den ganzen Spuk davor. Sperrung von Konten usw.

    Update läuft nun seit 10.04.2021 ca. 20:00 Uhr über W-Lan, Telefonkarten und Speicherkarte entfernt, also ca. 15 Stunden! Gerät ist leicht temperiert und hat den Schriftzug "Gigaset" in Orange

    Was soll ich nun machen die 8 Stunden sind nun schon fast verdoppelt?

    Danke für Eure Tipps

    • Rhöner sagt:

      Ich bin es selbst der Rhöner, mein Handy macht nun schon seit 24 Stunden ein Update! So hoffe ich! Es zeigt seit Samstag 20 Uhr den Schriftzug Gigaset, mehr nicht! Ist auch etwas warm, aber was macht es wirklich?

      Wird etwa meine Datenplatte im Heimnetz kopiert und da diese 8 TB beträgt, dauert bei mir das Update länger! Man weiß nicht was das Gerät macht, ist etwa die Fehlerbehebung von Gigaset der nächste Trojaner?

      Darf man es ausschalten oder vom Wlan-Netz trennen?

      Hier hilft ja auch keiner und ich denke es wird immer schlimmer!

      Danke für irgend einen Tipp

      Rhöner

      • Volko sagt:

        Ich würde mal vermuten, dass das Update zu einem "Einfrieren" des Smartphones geführt hat …
        Jetzt ist meiner Meinung nach Gigaset als mittelbarer Verursacher an der Reihe, den Schaden kostenfrei zu beheben … d.h. versuche das Ausschalten des GS370 durch sehr langes Drücken des Ein-/Ausschaltknopfes zu erzwingen bzw. entferne – falls bei diesem Modell möglich – den Akku … dann Kundenservice anrufen und Behebung des Schadens verlangen!
        Tut mir Leid, dass ich Dir keine andere Antwort geben kann …

        • Rhöner sagt:

          Danke Volko,

          Akku geht ja nicht rauß, Handy ist auf dem Weg nach Bocholt!

          Hatte ein Ticket aufgemacht und angerufen 02871912912, sehr nette, aber bestimmt überlastete Mitarbeiter! Nach 20 min Wartezeit in der Telefonschleife ging es ganz schnell, da das angelegte Ticket, dann nur noch vervollständigt werden musste.

          Das rate ich allen Ticket anlegen und gleichzeitig anrufen, so kann es beschleunigt werden.

          Vor den Mitarbeiter, Respekt, so Nett! Die haben jetzt ja Streß ohne Ende. Viel Kraft wünsche ich Ihnen!

          Dir Volko auch Danke, Karre ist halt in den Sand gefahren und ich bekomme die nicht mehr heraus! "Treibsand" Zum Glück bin ich nicht versunken, stand aber kurz davor! Mein Herz!

          Danke an Alle

Schreibe einen Kommentar zu Günter Born Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.