Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 2

[English]In Teil 1 hatte ich die von der Firma Gigaset zum 8. April 2021 herausgegebene Information Lösung Malware-Angriff Smartphones im Hinblick auf die automatische Löschung des Malware-Befalls diverser Android-Geräte analysiert. Das funktioniert zwar, nach bisherigen Rückmeldungen, bei einigen Leuten, ist aber nicht wirklich zuverlässig. Nun hat Gigaset zusätzlich eine Anleitung zum manuellen Säubern der Geräte veröffentlicht. Hier ein Blick auf dieses Thema sowie eine Auflistung von Themen, die in der Gigaset-Information überhaupt nicht angesprochen werden.


Anzeige

Manuelle Bereinigung der Infektion?

Im Beitrag Lösung Malware-Angriff Smartphones gibt der Anbieter Gigaset den Benutzern Hinweise, wie man Geräte auf einen Befall prüfen kann.  Dazu gibt der Hersteller folgende Anweisungen:

Prüfen Sie, ob Ihr Gerät betroffen ist

  1. Prüfen Sie Ihre Software-Version. Die aktuelle Software-Version lässt sich unter „Einstellungen" à „Über das Telefon" unten unter „Build Nummer" ablesen
  2. Ist Ihre Software-Version niedriger oder gleich der unten genannten gefetteten Versionsnummern, ist Ihr Gerät potentiell betroffen
    • GS160                   alle Softwareversionen
    • GS170                   alle Softwareversionen
    • GS180                   alle Softwareversionen
    • GS100                   bis zu Version GS100_HW1.0_XXX_V19
    • GS270                   bis zu Version GIG_GS270_S138
    • GS270 plus         bis zu Version GIG_GS270_plus_S139
    • GS370                   bis zu Version GIG_GS370_S128
    • GS370 plus         bis zu Version GIG_GS370_plus_S128

Das kann man so erst einmal stehen lassen. Dann gibt es die folgenden Anweisungsschritte, um festzustellen, ob Schad-Apps auf dem Gerät installiert sind:

  1. Starten Sie das Smartphone
  2. Prüfen Sie, ob Ihr Gerät infiziert ist, indem Sie unter „Einstellungen" à „App" prüfen, ob eine oder mehrere der folgenden Apps angezeigt werden:
    • Gem
    • Smart
    • Xiaoan
    • easenf
    • Tayase
    • yhn4621.ujm0317
    • wagd.smarter
    • wagd.xiaoan
  3. Sofern Sie eine oder mehrere der oben genannten Apps finden, löschen Sie diese bitte manuell.
    • Öffnen Sie die Einstellungen (Zahnrad-Icon).
    • Tippen Sie auf Apps & Benachrichtigungen.
    • Tippen Sie auf App-Info.
    • Tippen Sie die gewünschte App an.
    • Klicken Sie auf den Deinstallieren-Button.

Liest sich hervorragend und wird in einigen Internet-Medien enthusiastisch als Stein der Weisen abgefeiert. Alleine dieser Ansatz hat einige Schönheitsfehler, die am Sinn der Anleitung zweifeln lassen.

  • Die Liste der obigen Apps ist unvollständig – Blog-Leser Bolko hat es in diesem Kommentar bereits angerissen. Je nach Gerät werden weitere Schad-Apps zu finden sein, die bei der obigen Deinstallationsanleitung nicht berücksichtigt werden.
  • Zudem verweise ich auf meinen Beitrag Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware mit der Analyse von Nathan Collier. Dieser weist darauf hin, dass der Auto-Installer drei Versionen des Android/Trojan.Downloader.Agent.WAGD installiert (Gem, Smart, Xioan).

Laut den Analysen von Collier ist Android/Trojan.Downloader.Agent.WAGD in der Lage, neue Registerkarten im Standard-Webbrowser zu Spiel-Websites zu öffnen, weitere bösartige Apps herunterzuladen und möglicherweise andere bösartige Verhaltensweisen auszuführen. Collier schreibt, dass einige Benutzer auch die Schad-App Android/Trojan.SMS.Agent.YHN4 auf ihren mobilen Geräten vorgefunden haben. Das Herunterladen und die Installation dieses SMS-Agenten ist darauf zurückzuführen, dass Android/Trojan.Downloader.Agent.WAGD den Benutzer auf Spiele-Webseiten umgeleitet hat, die ihrerseits bösartige Apps enthalten. Dies erklärt auch, dass Nutzer Crypto-Miner und weitere Schad-Apps auf ihren Geräten gefunden haben.

Im Blog treffen dann auch Nutzermeldungen wie dieser Kommentar ein, die die erneute Installation der schädlichen App com.yhn4621.ujm0317 bestätigen.

soeben hat sich com.yhn4621.ujm0317 installiert, nachdem ich nach der Anleitung alles deinstalliert hatte.
Jetzt auch diese deinstalliert, die war zuvor nicht in meiner App Liste, poppte eben hoch mit einer Install-Anfrage,
mit ablehnen weggeklickt und trotzdem drauf

Ein weitere Nutzer hat sich vor kurzem mit folgendem Kommentar gemeldet:

Sehr geehrter Herr Born,

etwa 1/2 Stunde nachdem Sie die Nachricht von Gigaset gepostet hatten, habe ich die o.a. Malware erneut von meinen GS170 deinstalliert. Und 1/4 Stunde später war Tayase wieder drauf. Entweder der Server spuckt immer noch, oder mein GS170 installiert nun selbstständig nach, aber warm wird es gerade nicht mehr…

Auch hier wird letztendlich bestätigt, dass die manuelle Deinstallation der Malware nicht wirklich möglich war. Andererseits führt Blog-Leser Bolko in diesem Kommentar Fundstellen auf, wo eine "Bereinigung" angeblich geklappt hat. Die gegenteilige Erfahrung wird in diesem Kommentar geschildert, wo das GS160 nicht mehr startet.

Anmerkung: Aktuell kristallisiert sich heraus, dass die Auto-Updates zumindest versuchen, ein sauberes Firmware-Abbild auf das Gerät zu installieren. Laut dem Kommentar hier ist der Download der Reparaturdateien extrem langsam und könne bis 8 Stunden dauern. Diese 8 Stunden werden auch von Gigaset im Reparaturhinweis genannt.

Das Ganze lässt sich unter dem Strich auf einen kurzen Nenner bringen: Die infizierten Geräte sind kompromittiert, niemand weiß genau, welches Malware auf den jeweiligen Geräten installiert wurde und noch aktiv ist. Der Versuch, die Malware manuell zu entfernen, gleicht Russisch Roulette: Kann funktionieren, muss aber nicht und kann sogar kräftig schief gehen. Es wäre höchstens unter der Prämisse hilfreich, dass man das Gerät vorläufig säubert, in der Hoffnung, dass das automatische Update das Firmware-Abbild vor der Re-Infektion aktualisieren und so alle Malware entfernt sowie eine Re-Infektion zuverlässig verhindern kann.


Anzeige

Als ich das erste Telefonat mit der Gigaset Technik hatte, war meine Hoffnung, dass das Ganze ggf. radikaler gelöst wird. Die Nutzer erhalten per Update ein sauberes Installations-Abbild der Firmware angeboten, welches dann manuell heruntergeladen und auf das Gerät installiert wird. Dabei werden auch alle Partitionen (u.a. den Daten- und Dalvik-Cache) geleert, wie hier skizziert. Ob das durch das Auto-Update in dieser radikalen Form, zuverlässig für die Masse der Betroffenen funktioniert, ist für mich bisher unklar. Es bleibt kein gutes Gefühl der Art "ich bin sicher, alles ist beseitigt" bei mir zurück. Hier muss also jeder Gerätebesitzer selbst entscheiden, wie er verfährt.

Support kontaktieren und machen lassen

An dieser Stelle trete ich mal kräftig auf die Bremse. Wenn bei einem PKW etwas an Problemen auftritt, gibt es einen Rückruf des Herstellers, der die Ursache über Fachwerkstätten beheben lässt.  Ich postuliere, dass ein Großteil der Gigaset-Kunden nicht in der Lage ist, die obigen Schritte zum manuellen Bereinigen des infizierten Geräts sauber durchzuführen. Und selbst wer die automatische Reparatur erfolgreich durchlebt oder das Gerät manuell gesäubert hat, unterliegt einem Restrisiko. Gigaset schreibt in seiner Anleitung:

Prüfen Sie nun erneut, ob sämtliche der oben genannten Apps deinstalliert sind. Falls die Apps immer noch vorhanden sind, kontaktieren Sie bitte den Gigaset Service unter +49 (0)2871 912 912 (Zum Festnetztarif Ihres Anbieters).

Ich empfehle dieses Angebot anzunehmen und auf einer "Reparatur" des Geräts durch den Hersteller zu bestehen. Denn letztendlich ist es wie beim oben erwähnten PKW: Der Kunde hat das Produkt gekauft und bezahlt und dann entspricht es in seinen Eigenschaften nicht den Angaben des Herstellers. Also muss der Hersteller auf eigene Kosten nachbessern.

Was nicht angesprochen wurde

Abseits der Frage: Gelingt es, das kompromittierte Smartphone wieder in einen sicheren und sauberen Zustand zurückzusetzen, hat Gigaset in seiner Anleitung hier zu folgenden Punkten überhaupt keine Stellung bezogen:

  • Es ist bekannt, dass Besitzer kompromittierter Geräte mit WhatsApp von ihrem Konto ausgesperrt wurden und nach der erneuten Kontenfreigabe WhatsApp-Nachrichten aus aller Welt empfangen haben. Die WhatsApp zugeordnete Telefonnummer der SIM-Karte ist also breit verteilt worden. Was ist mit der in WhatsApp kompromittierten Telefonnummer? Kann das Gerät über WhatsApp durch diesen Vorfall erneut infiziert werden?
  • Es ist bekannt, dass über kompromittierte Geräte SMS-Nachrichten verschickt wurden – vermutet wird der Versuch, die Schadsoftware zu verbreiten. Möglicherweise wurden auch Premium-Dienste per SMS angesprochen. Wer kommt für die Kosten und die Folgen auf?
  • Im Artikel Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware hatte ich die Beobachtung erwähnt, dass die Schadroutinen kostenpflichtige Optionen auf Glückspiel-Seiten oder in Apps gebucht haben, deren Kosten über den Mobilfunkanbieter eingezogen werden. Falls dies der Fall ist, wer kommt für diesen Schaden auf?

Zudem besteht das Risiko eines Datenabflusses – was die Schad-Apps genau gemacht haben, geht aus den Gigaset-Informationen nicht hervor. Firmen, die Gigaset-Geräte eingesetzt haben, oder Mitarbeiter, die das Smartphone beruflich einsetzen, müssen die datenschutzrechtliche Relevanz des Malware-Befalls evaluieren. Es ist eventuell die zuständige Datenschutzaufsicht über einen möglichen DSGVO-Vorfall binnen 72 Stunden zu informieren. Das hatte ich bereits im Artikel Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten empfohlen.

Abschließende Gedanken

Es mag sein, dass die von mir in den beiden Artikeln zusammengetragenen Informationen nicht in allen Punkten zutreffen – und viele Geräte per Auto-Update irgendwie von Malware bereinigt werden – müssen wir abwarten. Was sich aber festhalten lässt: Die Gigaset-Mobilgeräte wurden ohne Zutun oder Schuld der Besitzer durch Schadsoftware über Update-Server des Herstellers infiziert. Ob die automatische oder manuelle Bereinigung infizierter Geräte nach 8 oder 10 Stunden klappt (Info aus diesem heise-Forenkommentar), ist abzuwarten.

Zudem hätte in die Anleitung unbedingt der Hinweis gehört, während der 8 Stunden Auto-Reparatur die SIM-Karten zu entfernen, um einen Versand von SMS- und WhatsApp-Nachrichten über die infizierten Apps/Geräte zu unterbinden. Ein Großteil der Nutzer wird auch nicht in der Lage sein, eine manuelle Bereinigung der Geräte vorzunehmen. Und ob sicher alle Malware auf dem Gerät beseitigt ist, wer will das garantieren?

Wie es mit der Telefonnummer und entstandenen Kosten ausschaut, ist komplett offen. Zudem deutet es sich an, dass dies nicht der erste Vorfall mit Malware bei Gigaset war und zumindest Teile der Software über China ausgeliefert wird. Ob man unter diesem Gesichtspunkt die Mobilgeräte weiter verwendet und dort ggf. sehr sensitive oder wichtige Daten speichert, muss jeder Nutzer mit sich selbst ausmachen. Aus meiner Sicht ist es zu früh für eine Entwarnung der Art "puh, nochmal gut gegangen". Ich hätte es Betroffenen und dem Hersteller deutlich anders gewünscht.

Ähnliche Artikel:
Gigaset Android-Update-Server liefern vermutlich Malware aus
Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)
Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten
Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021)
Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware
Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)

Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1
Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 2
Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)
Gigaset-Malwarebefall und das WhatsApp/SIM-Problem
Nachtrag zum Malwarebefall bei Gigaset Android-Smartphones


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, Sicherheit, SmartPhone abgelegt und mit , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

99 Antworten zu Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 2

  1. Bolko sagt:

    Mir ist noch nicht klar, ob die Data-Partition mit einem frischen Image überschrieben wird, um die com.yhn4621.ujm0317 loszuwerden.

    /data/app/com.yhn4621.ujm0317-1/base.apk=com.yhn4621.ujm0317
    ( Android/Trojan.SMS.Agent.YHN4 , SMS-Agent)

    Da das Installations-Paket in der Data-Partition liegt, aber die sonstigen normalen Apps des User ebenfalls, kann man die normalen Apps doch nicht einfach ebenso eliminieren durch ein frisches Image, oder wird das doch so gehandhabt?

    Dann muss der User aber hinterher alle seine Apps wieder selber installieren.

    Obendrein liegen in der Data-Partition auch alle persönlichen Daten des Benutzers, etwa seine Bilder, Videos, Downloads, Notizen etc und die wären dann ebenfalls weg nach der Säuberung über die Partitions-Images.
    h**ps://www.droidwiki.org/wiki/Partitionen#.2Fdata-Partition

    Falls also die Säuberung mittels Image ausgeführt wird, dann wäre es ganz gut, wenn man in der Anleitung auch reinschreiben würde, dass dann hinterher die persönlichen Daten weg sind und man die besser vorher sichern sollte.

    Falls aber die Säuberung nicht mittels Image der Data-Partition durchgeführt wird, dann sind die Schädlinge ja weiterhin dort vorhanden.

    Also beide Möglichkeiten sind nicht optimal.

    Es wäre mal ganz hilfreich, wenn GIGASET mal Klartext reden würde, wie die Säuberung im Detail abläuft und diese Firma sollte aufhören, uns für blöd verkaufen zu wollen.

    und wo ist eigentlich das Problem, einfach mal für alle betroffenen Modelle (oder besser noch auch für alle angeblich nicht betroffenen Modelle) die sauberen Partitions-Images zum manuellen Download anzubieten?

    • Zocker sagt:

      Siehe auch mein Kommentar von gestern:
      https://www.borncity.com/blog/2021/04/08/kurzinfo-gigaset-pressemitteilung-zum-malware-befall-der-android-gerte-8-4-2021/#comment-104890

      Gigaset scheint mir die Sache nach Möglichkeit aussitzen zu wollen. Natürlich wäre eine Formatierung mit einem großen Aufwand und Datenverlust verbunden und somit mit einer Kundenunzufriedenheit. Dazu ist zu sagen, dass dieser Schritt natürlich optional für die Kunden wäre.
      Allerdings ist das Kind eigentlich ohnehin schon in den Brunnen gefallen. Gigaset verschlimmert die Lage nur, wenn sie die Sache (indirekt durch inkonsequente Maßnahmen) beschönigen. Gerade in solchen Situationen merkt man, ob man sich auf ein Unternehmen verlassen kann. Bei Gigaset ist das zum aktuellen Zeitpunkt mMn nicht der Fall. Die Auslagerung des Updatedienstes an einen externen Dienstleister ist grundsätzlich sehr heikel, da man als Hersteller dann auch für diesen haftet.

  2. Bolko sagt:

    Zusatzfrage:
    Wird das ca 4 GB große Image der Systempartition im Recovery-Modus runtergeladen und installiert oder was dauert da so lange während das GIGASET-Logo angezeigt wird?

    Falls ja, auf welchem Weg wird es runtergeladen und warum nicht schon vorher?

  3. Triceratops sagt:

    Mein Gigaset GS 100 hat schon Version "GS100_HW1.0_11122020_V21" drauf, das ich letztes Jahr 2020 aufgespielt habe. Scheint so das ich daher nicht von Betroffen bin.

  4. Heisenberg sagt:

    "Es ist bekannt, dass über kompromittierte Geräte SMS-Nachrichten verschickt wurden"

    Gibt es da vielleicht einen Zusammenhang mit den Spam SMS die seit Tagen verschickt werden, es handelt sich hierbei um SMS für Paket Ankündigungen, diese enthalten ein Link, vermutlich Phishing!

    Darüber wird seit kurzem nämlich auch berichtet z.b. auf t-online.de und so weiter!

    Meine Frau hat schon mehrere in den letzten 2 Wochen bekommen, von verschiedenen deutschen handynummern, sie selber hat aber kein Gigaset, sondern Xiaomi Mi9!

    • Gerold sagt:

      Die Paketankündigungs-SMS stehen wahrscheinlich im Zusammenhang mit dem Facebook-Leak:

      SMS-Spam nach Datenleck: Facebook will Betroffene nicht informieren

      Tage nachdem eine neue riesige Datenbank mit Facebook-Nutzerdaten online gelandet ist, geht jetzt eine Spamwelle los. Facebook will nichts unternehmen.

      https://www.heise.de/news/SMS-Spam-nach-Datenleck-Facebook-will-Betroffene-nicht-informieren-6009106.html

      • Heisenberg sagt:

        Meine Frau hat aber kein Facebook!

        Aber wir sind hier schon etwas weiter mit der Forschung, sie hat einen WhatsApp Status gemacht und gefragt ob jemand einen Gigaset hat und derjenige sich mal bitte melden soll!

        Eben gerade hat sich eine bekannte gemeldet, sie hat ihre Tochter ein Gigaset pummel Fon gekauft, und die Mutter hat gerade einen Screenshot von ihrem Handy (iPhone) geschickt, sie ist komplett vollgespamt mit diesem Paket sms!

        Wir warten jetzt mal ob sich noch weitere Leute in WhatsApp melden sie vielleicht ein Gigaset haben!

        Aber halt: Facebook klaut ja auch alle Telefonnummern vom Handy, diese bekannte hat aber auch Facebook!

        • Niels sagt:

          Ist WhatsApp nicht Eigentum von Facebook?

          WhatsApp zu nutzen (was bekanntermassen alle Telefonnummern in deinem Addressbuch an deren Server sendet) und dann Unterschiede zu machen ob deine Frau nun FB nutzt oder nicht erscheint mir wie im November bei 0 grad auf die Eisfläche zu gehen…

        • Bolko sagt:

          Zitat:
          "Meine Frau hat aber kein Facebook!"

          Das könnte ein Irrtum sein, denn sie hat vermutlich WhatsApp und da WhatsApp inzwischen vom Facebook-Konzern aufgekauft worden ist, hat Facebook Zugriff auf die WhatsApp-Daten inklusive der Telefonnummer.

          Facebook richtet in solchen Fälle ein verstecktes Facebook-Konto zugehörig zu dieser Telefonnummer ein, ohne dass der User davon irgend etwas erfährt.

          Obendrein befindet sich in den meisten Smartphones auch die Facebook-Apps in der Systempartition und läuft heimlich mit.

          Zusätzlich sind in einigen Android-Apps auch versteckte Facebook-Module reinkompiliert, die die User-Aktivitäten mitprotokollieren und an Facebook melden.

          So kann Facebook dann leise still und heimlich umfassende Daten über User saammeln, die eigentlich der Meinung sind, gar nicht bei Facebook zu sein.

          Daher WhatsApp deinstallieren, alle Apps, die solche Facebook-Module reinkompiliert haben ebenfalls deinstallieren (herausfinden kann man das mit der App Exodus Privacy).
          Außerdem die facobook-System-Apps in den Einstellungen oder mittels adb deaktivieren und die facebook-IP-Adressen mittels hosts oder Blokada-App sperren.

          • Bolko sagt:

            Ich habe mal eine konsolidierte Sperrliste gegen Facebook zusammengestellt, die man in die hosts einfügen kann:
            https://pastebin.com/UFm7gUE1

            Das sind sagenhafte 2104 Adressen, die man sperren muss, um Facebook zu blockieren.
            Eine einzige Pestseuche ist das.

            Auf manchen Systemen muss man alle "0.0.0.0" durch "127.0.0.1" ersetzen.
            Für Windows gehen beide Varianten, für die Blokada-App auf Android ist "127.0.0.1" besser.

  5. wolfgang herok sagt:

    Guten Tag,
    Ich habe mal eine Frage. Wie komme ich wieder bei Whats App rein?

    • Günter Born sagt:

      Den WhatsApp-Support per E-Mail kontaktieren – schätze ich mal.

      • wolfgang herok sagt:

        Das klappt leider nicht, sonst hätte ich ja nicht nachgefragt.
        Na gut, dann versuche ich mich mal anderweitig schlau zu machen.

        • Paki84 sagt:

          Nach der Meldung, dass sie aufgrund Verletzung gegen die nutzeebedingu gesperrt sind kommen zwei Button "Support kontaktieren" und "abbrechen" . Hier müssen sie den Support kontaktieren, das Problem kurz beschreiben und auf der Folgeseite des FAQ unten den Button drücken (sinngemäß stand da "Thema wird in den obigen nicht behandelt". Im Nachgang wird dann über ihr Mailprogramm eine Mail mit diversen Daten an den Support geschickt. Bei unseren 3 Handys hab es nach ca. 3 Minuten eine Remail, dass man wieder freigeschaltet sei. Im Nachgang dann einfach die Verifizierung wieder starten bei WhatsApp.

    • Lars S. sagt:

      Hallo Wolfgang,

      die gleiche Frage habe ich auch. Mein Whatsapp-Account ist immer noch gesperrt.
      Ich habe den Support kontaktiert, welcher mir nur eine Anleitung geschickt hat, wie ich mich von anderen Geräten abmelde. Das funktioniert aber nicht, da bei mir folgendes nur möglich ist:

      Wenn ich WhatsApp neu starte, muss ich den Nutzungsbedingungen zustimmen. Klicke ich auf „zustimmen" muss ich meine Telefonnummer eingeben um mich zu verifizieren. Wenn ich das korrekt eingebe und auf „weiter" klicke möchte WhatsApp mich verbinden, allerdings kommt dann eine Fehlermeldung worin folgender Text steht:

      „Deine Telefonnummer +49 151 xxxxxx… ist nicht mehr für die Benutzung von WhatsApp zugelassen. Kontaktiere den Support für Hilfe."

      Ich habe nicht die Möglichkeit mich abzumelden oder etwas anderes anzuklicken. Ich denke, dass ich in Ihrem System geblockt/deaktiviert bin und wieder freigeschaltet werden muss.

      Das wiederum habe ich dem Support genauso per Mail am 08.04.21 um 21:33 geschrieben und habe seitdem keine Rückmeldung mehr erhalten.
      Dementsprechend ist Whatsapp für mich bis zur Aufhebung nicht mehr nutzbar.

      Oder gibt es noch eine andere Möglichkeit?

    • Bolko sagt:

      Statt WhatsApp könnte man auch auf blabber.im oder Conversations umsteigen.
      Dann braucht man keine Telefonnummer, ist also auch ein Stück weit anonymer und schenkt dem Facebook-Konzern auch nicht mehr seine Daten.

  6. Bernd sagt:

    Macht es überhaupt Sinn ein mit einem evtl. Trojaner infiziertes Smartphone an einen PC anzuschließen?

    Ich würde das Smartphone ja überhaupt nicht mehr ins Netz lassen. Zumindest (falls man testen will), Netguard(f-droid.org/Github M66B) installieren, alle Apps und root blockieren und per Fritzbox eine Paketmitschnitt machen und mit Wireshark schauen, ob noch Verbindungen an Netguard vorbei aufgebaut werden können.

    • Günter Born sagt:

      Schwierige Frage – ich denke, Leute die per ADB-Schnittstelle auf das Gerät zugreifen, haben eher nichts zu befürchten. Und wer so fit ist, mit Netguard einen Paket-Mittschnitt anzufertigen, dürfte mit dem Risiko umgehen können. Aber vielleicht habe ich was übersehen.

      • Bolko sagt:

        Ob das wirklich sicher ist kann man noch nicht sagen, denn in einem der früheren Stränge hat ein User eine App namens "Ducky" gefunden.

        Das könnte nur ein Fake-Spiel sein, aber es könnte auch "USB Rubber Ducky" sein.
        Dann meldet sich das Smartphone am PC als Tastatur an und gibt dann am PC Befehle ein.

        Da der Angriff sehr fortgeschritten ist mitsamt Umbiegung der Smartphone-Tasten, die dann ein Ausschalten verhindern, könnte der Angreifer fähig genug sein, um auch mittels Rubber-Ducky sich auf den PC weiter zu verbreiten.

        Das ist aber bisher nur Spekulation.

        Man müsste diese "*Ducky*" selber in die Finger bekommen und analysieren, was die genau macht.

        Klar, könnte nur ein Spiel sein, aber Vorsicht ist in diesem Falle besser.

        • Paul sagt:

          Ich denke mal eher, dass dies nur ein Spiel ist… Aber wer weiß. Im PlayStore konnte ich sehen, dass sehr viele Apps von diesem einem Entwickler heruntergeladen wurden (auf einem anderen gerät: -> Meine Apps und Spiele -> Mediathek und dann nach "Letzte" sortieren. Dort sind die zuletzt installierten Apps und somit irgendwo auch die von der Malware installierten. Hier nochmal ein Link zum "Ducky"-Spiel(?):

    • Zocker sagt:

      Ich finde es würde Sinn machen, sofern alles offline abläuft, also die Internetverbindung zum Router zu kappen und SIM-Karte aus dem Telefon raus. Dann wäre aber auch ein kompletten Image sinnvoll. Bis dahin kann man zumindest was per ADB machen. Ich denke viel verlieren kann man dabei nicht.

    • Bernd sagt:

      Die Empfehlung für Netguard ziehe ich zurück. Besser direkt mit der Fritzbox die Pakete mitschneiden und mit Wireshark anschauen.

  7. Kukkatto sagt:

    Die Anleitung funktioniert vielleicht an der Obefläche – aber aus der Welt geschafft ist das Problem damit nicht – und die Update-Server verteilen die Malware immer noch: ich GS170 den ganzen Tag zwar eingeschaltet, aber WLAN abgeschaltet (SIM-Karten sind zwei abgelaufene drin, die sich gar nicht mit einem Mobilfunknetz verbinden können) – nachdem ich zuvor die bis anhin bekannten Schädlinge manuell gelöscht hatte. Den ganzen Tag lang passierte nix – das Zeugs kommt somit von außen. Am abend habe ich dann WLAN wieder eingeschaltet – und heute morgen ist es schon wieder auf "Do not disturb" gestellt (was ich nicht selbst getan habe) – sowie com.yhn4621. ujm0317 und AppData sind heute morgen von neuem installiert. Geht man in die Developer-Options und läßt sich die laufenden Prozesse anzeigen, so erscheint dort AppData – unter dem Installationspaketnamen com.setmktdsings.asmitasmkutapp …

    • Kukkatto sagt:

      oops – nicht "AppData", sondern "AppSettings" natürlich …

    • Günter Born sagt:

      Ich bin im Moment hin und her gerissen. Es gibt ja erste Stimmen der Art "mein Gerät ist bereinigt" – wobei ich bei einem kompromittierten Gerät und hear-say vorsichtig bin.

      Mir ging schon mal im Hinterkopf herum: Factory-Reset des Gigaset-Geräts samt Wipe der diversen Partitionen. Aber das können nur erfahrene Nutzer – und mir ist nicht klar, ob a) die Geräte überleben und b) dann per Auto-Update auf den aktuellen – malwarefreien – Zustand kommen. Angesichts der Welle, die gerade wegen der Geschichte über mich geschwappt ist, fehlt mir auch die Zeit und der Nerv, da zu testen.

      • Bolko sagt:

        Factory-Reset löscht nur die User-Daten, aber nicht die System-Updates.

        Das funktioniert so also nicht zur Bereinigung.

        • Günter Born sagt:

          Ich habe es nicht probiert – ich meine nicht zurücksetzen auf Werksauslieferungszustand in der Einstellungen App. Ich kenne es nur von anderen Androiden, dass ich mit bestimmten Tastenkombinationen in den Recovery-Mode komme, wo ich Partitionen löschen, Firmware von SD-Karte installieren oder die Testroutinen des Geräts aktivieren kann.

          • Bolko sagt:

            Ja, das geht.
            Deswegen wäre es sehr schön, wenn GIGASET mal endlich die sauberen Partitions-Images für den manuellen Download bereitstellen würde.
            Ist mir echt ein Rätsel, warum die das nicht machen.

            Ich würde mir auch kein Smartphone kaufen, wo der Hersteller sowas nicht anbietet.

          • Anonymous sagt:

            Ich habe es probiert bei einem GS170 und da ist der Updater com.redstone.ota.ui (logischerweise) immer noch drauf und wird auch nach wie vor von Malwarebytes als Trojaner erkannt.

            Habe ich auch mal bei Heise als Kommentar in die Diskussion gestellt.

            Habe nun Gigaset geschrieben dass ich das Teil einschicken will und sie sollen es entweder reparieren oder ich will alternativ Geld zurück oder ein adäquates anderes Smartphone.

      • Zocker sagt:

        Wenn sich die Malware tief eingenistet hat, bringt ein Werksreset wenig bis nichts. Da muss zumindest ein komplettes und frisches Image drauf. Egal wie.
        Für den 0815-User wird es praktisch unmöglich sein um ein Einschicken an den Hersteller rumzukommen, wenn er auf Nummer sicher gehen will. Gigaset wird immer alles beschönigen.

    • Bolko sagt:

      Danke für das Finden des zusätzlichen Schädlings.

      com.setmktdsings.asmitasmkutapp (= AppSettings)

      Malwarebytes sagt zu com.setmktdsings.asmitasmkutapp
      (aufgrund des Hinweises von Kukkatto)

      We have com.setmktdsings.asmitasmkutapp classified as Android/PUP.Riskware.HiddenAds.mktds.
      HiddenAds will pop up annoying ads in browser and other locations.

      h**ps://forums.malwarebytes.com/topic/272769-malwarebytes-found-_comsetmktdsingsasmitasmkutapp_/?do=findComment&comment=1450004

      Dieses com.setmktdsings.asmitasmkutapp ist offensichtlich brandneu, denn in den Suchmaschinen tauchte es bisher nicht auf und auch für Malwarebytes war es neu.

      Da hat also kein Skriptkiddie den Server gehackt und dann irgendwelche bekannte Malware auf den Server kopiert, sondern da hat jemand extra für diese Aktion einen neuen Schädling programmiert.

      "AppSettings" ist auch ein gut gewählter Klarname, denn das sieht so aus wie eine ganz normale System-App, die dort hin gehört.

      Also muss man com.setmktdsings.asmitasmkutapp noch in die Liste der Schädlinge aufnehmen und die von GIGASET veröffentlichte Liste der Schädlinge ist eindeutig zu kurz geraten.

      Außerdem nennt GIGASET zwar die Namen der Schädlinge, aber nicht den zugehörigen Pfad des Pakets.

      Beispiel:
      com.yhn4621.ujm0317
      ist :
      /data/app/com.yhn4621.ujm0317-1/base.apk

      Wenn man jetzt nur com.yhn4621.ujm0317 deinstalliert, dann bleibt das Base.apk-Paket weiterhin in der Datenpartition vorhanden und könnte von einem der anderen Schädlinge von dieser Data-Partition aus erneut installiert werden, ganz ohne Internetverbindung.

      @ Kukkatto:
      Könntest du auch den Pfad herausfinden, wo das apk-Paket der com.setmktdsings.asmitasmkutapp gespeichert ist? Name dieses apk?

      • Kukkatto sagt:

        Folgende Pakete waren bei mir gestern noch nicht drauf (ich habe seit der Installation von Malwarebytes nichts mehr intstalliert, aber einiges gelöscht – was den Vergleich nun mühsamer machte … interessant ist dabei, daß bei einigen (hier nicht genannten) Paketen die Nummer 1 mit 2 geändert wurde und vice versa:

        package:/data/app/com.dolphinstudio.hook-1/base.apk=com.dolphinstudio.hook
        package:/data/app/com.dolphinstudio.taiko-1/base.apk=com.dolphinstudio.taiko
        package:/data/app/com.loogngames.balance-1/base.apk=com.loogngames.balance
        package:/data/app/com.setmktdsings.asmitasmkutapp-2/base.apk=com.setmktdsings.asmitasmkutapp
        package:/data/app/com.yhn4621.ujm0317-2/base.apk=com.yhn4621.ujm0317
        package:/data/app/com.zyxapps.happyduck-1/base.apk=com.zyxapps.happyduck
        package:/data/app/slots.pcg.casino.games.free.android-1/base.apk=slots.pcg.casino.games.free.android

        NB: keines von denen erscheint im App-Drawer …

      • Kukkatto sagt:

        Die Liste der neu installierten Apps (die alle nicht im App-Drawer erscheinen) habe ich auf Android-Hilfe.de geannnt … (Herstellerforen – weitere Hersteller – Gigaset-Forum)

        • Bolko sagt:

          Super, Danke.

          Das ist dann dieser Beitrag:

          h**ps://www.android-hilfe.de/forum/gigaset-allgemein.2916/tayase-malware-auf-gigaset-smartphones.974787.html#post-12541135

          package:/data/app/com.dolphinstudio.hook-1/base.apk=com.dolphinstudio.hook
          package:/data/app/com.dolphinstudio.taiko-1/base.apk=com.dolphinstudio.taiko
          package:/data/app/com.loogngames.balance-1/base.apk=com.loogngames.balance
          package:/data/app/com.setmktdsings.asmitasmkutapp-2/base.apk=com.setmktdsings.asmitasmkutapp
          package:/data/app/com.yhn4621.ujm0317-2/base.apk=com.yhn4621.ujm0317
          package:/data/app/com.zyxapps.happyduck-1/base.apk=com.zyxapps.happyduck
          package:/data/app/slots.pcg.casino.games.free.android-1/base.apk=slots.pcg.casino.games.free.android

          Keines von denen erscheint im App-Drawer …

        • Bolko sagt:

          Sorry wegen der Doppelpostings, aber hier wurden offenbar mehrere Beiträge nicht sofort veröffentlicht wegen der darin enthaltenen Links bzw Link-Ähnlichen Listen.

        • Günter Born sagt:

          Soll das zweite Posting raus? War mein Fehler – ich erkenne nicht, ob ein Beitrag zur Moderation gelöscht oder den SPAM-Filter in den Papierkorb einsortiert wurde. Habe das dann einfach mal freigegeben – kann aber wieder löschen.

        • Bolko sagt:

          Ja, du kannst den zweiten Beitrag bitte löschen oder auch beide von mir, denn Kukkatto hatte oben drüber ja auch nochmal das selbe geschrieben.
          Steht in allen drei Beiträgen praktisch das selbe drin.

    • Volko sagt:

      Frage, hat jemand von Euch Zugriff auf "data/app/" per ADB ohne "Root"?

      Auf dem GS180 wird jeder Versuch mit "cd" in den Ordner zu wechseln aufgrund fehlender Rechte blockiert …
      Übersehe ich eine Möglichkeit?

      • Kukkatto sagt:

        Ich hab das GS170 nicht gerootet und speichere jeweils die Liste der installierten Pakete in eine Datei.

      • Kukkatto sagt:

        NB: bitte beachten, daß da nicht die üblichen "DOS"-Befehle gelten; ist irgendwo in den Antworten auf frühere Artikel hier beschrieben. NB: zum Speichern in eine Datei:

        adb shell pm list packages -f >c:\folder-name\package-list.txt

        Das Verzeichnis (hier "folder-name") sollte existieren; bei mir sind das mehrere Ordnerunerebenen. Danach liegt im Verzeichnis c:\folder-name die Datei package-list.txt

        • Volko sagt:

          Vielen Dank für Deine Antwort; der Erhalt der Pfad-Info mittels adb shell pm list packages -f ist mit klar … da hatte ich mich vielleicht etwas unpräzise ausgedrückt; deshalb ausdrücklich danke für den Hinweis.

          Mir ging es aber tatsächlich um den Dateizugriff auf den besagten Ordner, zwecks anschließendem manuellem Löschen möglicher Malware-Überreste … hier ist übrigens eine Übersicht über die möglichen ADB-Shell Befehle:
          h##ps://www.droidwiki.org/wiki/Shell

          • Kukkatto sagt:

            Der Dank gilt auch Dir – es war auf Basis Deiner Anleitung – die aber halt eben in zwei Teilen war …

            Die Übeltäter gelöscht habe ich dann – nach dem Einsatz von Malwarebytes – mit dem "App Inspector" von UBQSoft.

            Nun will ich den gesamten Geräteinhalt per ADB auf den PC rüberkopieren (adb pull …), bevor ich das Teil "flachwalze" (d.h. per Recovery-Menü auf Werkseinstellung setze), bin aber noch am suchen der genauen Syntax …

  8. Bolko sagt:

    Was sagt eigentlich das BSI dazu?
    Haben die auch eine Meinung und Ratschläge oder ist denen das egal?
    Wozu braucht man die überhaupt, wenn die in so einem Fall nicht eingreifen?

  9. Manuel sagt:

    Hallo,
    weiß von euch Jemand ob das "Reinigungs" Update schonfür alle betroffenden Geräte raus ist ?
    Ich habe bei mir nochmal nach Updates gesucht aber keine neuen gefunden, hab ein GS170 – Stand der Sicherheitsupdates 5.Nov.2018 – Build_Nummer GIG_GS170_S112.

    Mit ADB hab ich die bekannten Schädlinge entfernt, habe auch com.wind.emode und com.wind.windruntime entfert, meine gelesen zuhaben das diese auch Malware seien.

    Aber was mich wundert das ich immer noch den redstone Updater habe, also wurde bei mir wohl kein Update aufgespielt.
    Kann ich den redstone Updater entfernen bzw deaktivieren und trotzdem dann das Update erhalten ?

    • Anonymous sagt:

      Ich habe genau das gleiche! Auch ein GS170, Softwarestand wie bei Dir der aktuelle S112, Prüfung sagt es gibt keine neuere Version.

      Und nun halt Dich gut fest was der Gigaset Telefonsupport dazu sagt (ziemlich am Ende)…

      Aber der Reihe nach:

      – Gestern Abend das Gerät wieder aktiviert. Updateprozess läuft.

      – Malwarebytes hat dann sofort immer noch den Systemprozess "Update" (apk com.redstone.ota.ui) als Riskware gefunden und alle anderen Apps die Malwarebytes gefunden hat bzw. alle die seit Karfreitag drauf kamen habe ich deinstalliert (via Smartphone und nicht via adb da es in der Anleitung von Gigaset so steht).

      – Über Nacht am Ladegerät gelassen wie es Gigaset in der Anleitung sagt.

      – Heute früh um 08:00 war dann wieder alles drauf. Diverse Apps usw. Da waren dann auch definitiv die 8 Stunden um!

      – Also nochmal alles deinstalliert, Browser Daten und Cache gelöscht usw. und 1 Stunde später war wieder Zeug da und ich habe Gigaset angerufen. Zusätzlich haben sich in den nächsten 4 Stunden dann noch weitere Dinge gezeigt:

      1. Es wurden wie schon erwähnt wieder mehrere Apps ohne mein Zutun installiert. (unter anderem wieder com.yhn4621.ujm0317).

      2. Die Startseite im Browser wurde wieder auf eine Werbeseite umgeleitet (ich hatte Browserdaten + Browsercache geleert)

      3. Startet man das Smartphone neu so tut es meiner Ansicht nach nur so als würde es neu starten! Alle vor dem Neustart gestarteten Apps laufen nach dem Neustart immer noch!!!

      4. Der Browser startet regelmäßig von alleine und zeigt dann die genannte Werbewebseite, genauso startet sich WhatsApp und die SMS App immer mal wieder.

      5. Es starten auch gelegentlich andere Apps. Ich vermute dies soll ablenken von Browser, SMS und WhatsApp. Bspw. AnkiDroid war mal offen obwohl ich es nicht gestartet habe und auch meine PodcastApp war auf einmal offen obwohl ich sie zuvor beendet hatte.

      6. Der Akku hat sich in diesen 4 Stunden ungewöhnlich stark entladen was darauf hindeutet dass irgendwas im Hintergrund läuft!

      7. Das Smartphone hat sich in dieser Zeit während ich mal eine Stunde Podcast gehört habe mehrfach selbstständig in den "Bitte nicht stören" Modus versetzt. Dadurch ging der Podcast aus.

      ==> Definitiv kontrolliert irgendwas noch dieses Smartphone

      Nun der angekündigte Anruf beim Support:

      Sache geschildert. Ich soll die Apps deinstallieren. Sage ich "Kann ich machen aber das "Update" ist ein Systemprozess, den kann ich nicht deinstallieren und die anderen habe ich schon mehrfach deinstalliert, auch heute schon". Das war der Dame ganz neu. Habe Ihr dann den APK-Namen com.redstone.ota.ui gegeben und sie hat sich für mehrere Minuten mit jemand anderen besprochen.

      Ergebnis war: DAS IST EINE GANZ NEUE SACHE! Da muss erst geprüft werden was es mit diesem Updater auf sich hat. Wow!

      Ich habe die Punkte 1-7 nun nochmal per Ticket an Gigaset geschickt.

      • Kukkatto sagt:

        Mich hat der Gigaset-Support auch schon mal … "überrascht" … (da war ich angeiesen worden, Updates runterzuladen, nachdem mir ein anderer Telephonsupporter zwei Tage zuvor ganz nebenbei erwähnt hatte, der Support-Server sei für dieses Modell gerade eben definitiv abgeschaltet worden …

        NB: im Thread auf Android-Hilfe habe ich soeben noch einige Ergänzungen gemacht; offenbar ist auch noch ein BBQ browser im Spiel … Die über den PlayStore verfügbare App Inspector von UBQSoft hat sich als äußerst nützlich erwiesen; damit können auch die direkt auf "inaktiv" gesetzten Spiele (die unter den Apps gar nicht auftauchen), deinstalliert werden. Ist aber etwas mühsam, weil ich immer zuerst die App manuell stoppte, dann alle Berechtigungen entzog, danach Cache und Daten löschte, und zum Schluß dann deinstallierte.

        Mal schauen, was da noch kommt …

  10. Gert sagt:

    In unserer Firma wurden alle Betroffenen Geräte in eine Kiste geschmissen und mit der aufzufordern die Infektionen zu beseitigen mit Frist und beigefügtem Schreiben vom Anwalt an Gigaset gesendet.

    Unsere Geschäftsleitung ist echt auf zinne und wird vor einer klage bestimmt nicht zurückschrecken vor allem musste das ja auch DSGVO konform gemeldet werden und mal eben auf die schnell Ersatzgeräte beschafft werden

  11. Phil sagt:

    Bei mir war es jetzt auch so, dass nach der Installation des Systemupdates das Handy nicht mehr korrekt gestartet ist und auf dem orangenen Gigaset-Schriftzug auf schwarzem Grund blieb.

    Hab also heute früh beim Service von Gigaset angerufen und da wurde empfohlen, das Handy zu denen zu schicken (man musste nur ein paar Fragen beantworten – wann das Problem zuerst aufgefallen ist und wie sich das gezeigt hat und ob man mitbekommen hat, das vom Handy aus Nachrichten verschickt wurden). Sowohl das Verschicken des Pakets als auch die Reperatur an sich sind kostenlos,. Hab das Paket vor ca. einer Stunde aufgegeben, wird auch heute noch geholt. Mal schauen, ob die bei Gigaset selbst da im Lauf der nächsten Zeit was retten können…werden wohl einige Handys kommen. Hatte eine Stunde nach Hotlineöffnung angerufen und der Mitarbeiter meinte, dass sich heute schon einige Leute sich mit dem gleichen Problem gemeldet hatten…

  12. Peter sagt:

    Hallo zusammen,
    ich weiß nicht, ob es von Interesse ist, aber sicherheitshalber schreibe ich es mal hier rein: Wie ich schon geschrieben hatte, ist mein GS270 plus mit allen bekannten Folgen infiziert. Kaufdatum war Sommer 2018, Sicherheitsupdates sind auch Stand November 2018 und waren in der Folge nie von mir blockiert worden, konnten aber auch nie manuell durchgeführt werden (das System sei aktuell hieß es immer). Beim GS270 plus meines Vaters, welches ca. Mai 2019 angeschafft wurde und welches laut Systemnummer nicht zu den betroffenen Geräten gehört (und auch nicht infiziert ist), erfolgte noch im Januar 2021 ein Sicherheitsupdate. Wurden also nach dem Wechsel des Updateservers (schrieb hier nicht jemand über einen neuen Drittanbieter?) keine Updates bei den älteren Geräten mehr durchgeführt? Es hieß ja, die Updates seien "nutzerseitig" nicht durchgeführt worden..

  13. Bernd sagt:

    Mit Net Monitor kann man auf einfach Art nachschauen, welche Apps sich wohin verbinden. Ich habe es auf neueren Android-Versionen aber nicht testen können, ob es immer noch funktioniert.

    https://secuso.aifb.kit.edu/Net_Monitor.php

    Ich persönlich würde abwarten und das Smartphone nicht mehr ins Netz und Mobilfunk lassen.

    • Kukkatto sagt:

      Das Tool zeigt mir einige Verbindungen an, zu denen nicht mehr Informationen als "unknown" angezeigt wird …

      • Bernd sagt:

        Danke für die Rückmeldung.
        Ich meine, dass ab Android 10 etwas geändert wurde. Ich bin hier noch auf einen älteren LineageOS mit aktuellen Patches, da klappt es noch.

        Dann fällt diese Option für neuere Android-Geräte wohl flach.

  14. AE sagt:

    Hallo zusammen,

    ich habe ein GS 370 plus und bin seit 01.04. betroffen.
    Das manuelle Viren entfernen, was Gigaset in seiner Anleitung beschreibt, habe ich (und ja schon viele wie hier beschrieben) bereits gemacht, was ja nichts geholfen hat.
    Ich hatte das Handy dann bereits am Do. auf Werkseinstellung zurückgesetzt und beim laden der Sicherheitsupdates aus dem System kam dann alles wieder.
    Ab einer höheren Version des Updates hat sich dann das System beim Neustart aufgehängt und ich habe – wie hier viele jetzt beschreiben- auch nur noch den Gigaset Schriftzug gesehen und es passierte nichts mehr.
    Wir haben das Handy dann irgendwann im Recovery-Modus gestartet bekommen und alles resetet inkl. Userdata cache gelöscht. Dann ging das Handy wieder an und irgendwann haben wir dann auch die Updates "durchgezogen" bekommen. Jetzt ist das Telefon auf dem Update Stand S129 vom 5.12.2020.
    Es ist seit dem furchtbar langsam, hängt und wenn man in den Einstellungen "Apps&Benachrichtigungen" aufruft, kommt erstmal für ein paar Sekunden eine schwarze Seite.
    Und auf dem Startbildschirm ist immer mal wieder kurz zu sehen, wie sich einzelne Apps öffnen, z.B. Sms Messenger und andere. Und Kaspersky meldete "überprüfen von 10 neuen Apps". Eine der Apps war Google Play Music, die anderen konnten wir nicht sehen, weil es beim klicken sofort weg war. Das Telefon ist mit keinem Google Konto (mehr) verknüpft.
    Es sind keine Daten drauf und keine SIM Karte drin.
    Die Apps com.wind.emode und windruntimeTest sind immer noch da und einige Apps mit Datenverbrauch seit 31.12.2014, 0,92 GB. (Werkseinstellungsreset war zuletzt 02.04.) Es gibt auch einige Apps die "doppelt" drauf sind, mit ähnlichem Logo.

    Die Gigaset Lösung mit WLAN und automatischer Bereinigung funktioniert auch nicht, es hat sich nichts getan.
    Habe gerade bei Gigaset angerufen.
    Man sagte mir, ich könne das WLAN wieder ausschalten, ihr automatisches Update scheine nicht zu funktionieren!!!
    Und auch mir hat man gesagt, von dem Problem mit dem Update-Server, wisse man erst seit heute (dass ich nicht lache).
    Das Sicherheitsupdate vom 5.12.2020 sei für das 370plus das aktuellste Update, ein neueres gäbe es nicht.
    Ich habe jetzt eine Ticket Nummer bekommen und die IT würde sich bei mir melden…

  15. Michaela sagt:

    ich habe auf Anraten von Herrn Born mein Handy stillgelegt.
    Nun habe ich dem Service geschrieben, dass ich ebenso besagte Schad-Apps durch deren Update aufs Handy geladen bekommen habe und das manuelle Deinstallieren laut deren Anleitung nicht funktioniert.
    Die Frage, warum sie nicht alle Schad-Apps, die hier und in anderen Foren beschrieben wurden nennen und warum sie kein sauberes Image zum manuellen installieren bereitstellen wurde ebenso ignoriert wie die Forderung nach einer Kaufpreiserstattung. Das eine Handy wurde erst vor einem dreiviertel Jahr gekauft, das andere ist 3,5 Jahre alt. Ich habe nur die Standard Pressemitteilung als Antwort bekommen. Nicht ein Wort mehr oder weniger. Strg + C… Das ist sowas von frech. Ich habe ihnen beschrieben, dass das 270Plus definitiv auf neuestem Stand war (Jan 2021) und ich trotzdem deren Malware aufs Handy geladen bekommen habe.

    Unverschämt. Sie haben nicht einmal angeboten das Handy einzuschicken….
    Völlig allein gelassen… Ich sehe mich schon nach einem neuen Handy um und werde versuchen, den Kaufpreis zurückerstattet zu bekommen. Vertrauen in das Gerät und das Unternehmen sind definitiv dahin.

  16. FJW sagt:

    Die Situation ist leider schlecht. Die komplette dauerhafte Außerbetriebnahme der betroffenen Geräte ist wohl die einzigste sichere Option … leider.
    Auch bei vermeintlich nicht betroffenen Geräten sollte man Vorsicht walten lassen. Bei meinem GS270 plus (Patchlevel 01/2021, also aktuell) wurden erst nach einem Geräte-Neustart (offline) zwei der verdächtigen Schad-Applikationen installiert und es traten bis zur anschließenden Außerbetriebnahme keine merklichen Symptome auf dem Gerät auf. Ich kann mir aber nicht sicher sein, ob nun Daten abgeflossen sind (oder nicht) … oder was das Gerät machen würde, sobald es wieder online wäre. Ausprobieren ist keine Option.
    Möglicherweise ist es (auf Grund des Infektionsweges und je nach "Infektionsstand") auch für einen "normalen" Smartphone-Nutzer gar nicht bewertbar, ob das eigene Gerät nun wirklich nicht betroffen ist … oder ob im Hintergrund nicht doch etwas schadhaftes (möglicherweise sogar bisher unbemerkt) läuft.

  17. Niklas sagt:

    Guten Abend,

    ich sag es einfach mal völlig ungeschönt:

    Selbst die Analyse, welche Geräte betroffen sind, stimmt so nicht und erschüttert mein Vertrauen in diese Lösung umso mehr.

    Evtl. sind einige schon über eine meiner Antworten zu einem älteren Blogpost zu der Thematik gestolpert ->
    Wir setzen über 110 Gigaset GS370plus in Kombination mit einem Mobile Device Management ein. Von diesen sind ALLE auf dem aktuellsten Patch-Stand. Das wurde bequem und zuverlässig über das MDM gesteuert und in Stichproben mehrfach kontrolliert -> ich bin ein gebranntes Kind mit Regelsets und GPOs – ich kontrolliere das alles doppelt und dreifach, bevor ich mich zu einer solchen Aussage hinreißen lasse.
    Leider sind trotzdem alle unsere Geräte (in unterschiedlicher Stärke) betroffen.

    Nach mehrfacher Analyse der Gigaset-Reaktion und auch Bewertung der von G. Born geleisteten Arbeit sind wir zu dem Schluss gekommen die Geräte vorsorglich komplett aus dem Verkehr zu ziehen (hier unterscheidet sich meine Einstellung vom letzten Antworten). Ich traue der gesamten Gigaset Analyse nicht so weit, wie ich im dunkeln sehen kann (zur Aufklärung -> Ich bin kein nachtaktives Fabelwesen mit Nachtsichtfähigkeiten).

    Ich werde mir – sobald wir alle Geräte kontrolliert eingesammelt, verzeichnet (und somit den gesamten Pool garantiert unschädlich gemacht haben) und alle notwendigen Fakten und Sicherungen zur Analyse erstellt haben, dann mal den Spaß machen und mich mit der Gigaset Hotline auseinander setzen.

    Ich bin mal gespannt, wie dort dann das Prozedere aussehen soll, wenn ich 110 Geräte frisch beflasht haben will.

  18. Bolko sagt:

    Bei User "manne" wurde der Browser-Hijacker "Tayase" angeblich (laut Systemauskunft) über den "Google Play Store" installiert.

    Google würde aber einen so offensichtlichen Schädling erkennen, aus dem Play Store verbannen und nicht installieren.

    Das bedeutet also im Falle GIGASET, dass vermutlich der "Google Play Store" ausgetauscht wurde gegen einen Schädling, der genauso heißt.
    Also mal bitte bei euch nachschauen, wie der Paketname des "Google Play Store" lautet in den Einstellungen, Installierte Apps, Play Store antippen und dann oben rechts auf das Symbol tippen, um den echten Paketnamen anzeigen zu lassen.

    Original heißt der "Google Play Store" so:
    com.android.vending

    Weicht der bei euch ab oder habt ihr eventuell 2 solche "Google Play Store" installiert?

    • Kukkatto sagt:

      Ich habe heute auch nicht ganz uninteressante Erfahrungen gemacht – siehe auch meinen Thread bei Android-Hilfe.de (Gigaset-Unterforum). Zum einen kann ich bestätigen, daß der Google Play Store involviert sein muß – denn als ich das Passwort des Kontos auf dem PC geändert hatte, auf dem Gigaset aber noch nicht, tat sich nichts, obwohl WLAN eingeschaltet. Erst als auch auf dem Gigaset das Passwort korrekt eingegeben wurde und WLAN aktiv war (das war heute am frühen abend), ging die Verseuchung wieder los (die Update-Server sind also noch aktiv!); und bei installierten Spielen stand die Angabe: installiert über den Google Play Store. Seit nun über ca. 3h hat sich wieder nix mehr getan (das im Gerät gespeicherte Passwort ist immer noch falsch); ich ändere das nochmal – und lasse mich überraschen, wann es wieder losgeht …

    • Anne sagt:

      das GooglePlay Store involviert sein muss kann ich hier auch vermuten, genauso wie WA, da stimmt auch etwas nicht.
      Meine Frage: die Beschreibung zur Information wie genau die Version auf meinem Handy heisst, funktioniert aber nicht.
      Oben rechts sind nur die 3 Punkte, dahinter nur eine Deinstallation anzuklicken
      Hab ein GS 170, vielleicht funktioniert es hier anders
      Was passiert wenn Play Store deinstalliert wird?
      Was funktioniert dann alles nicht mehr?
      Kann mir da vielleicht jemand helfen?

  19. Gerold sagt:

    Aus dem Gigaset Blog:

    Update Lösung Malware Smartphones
    9. April 2021 Veröffentlicht von Raphael Doerr

    Im Kontext potentiell unerwünschter Apps auf einigen älteren Smartphones der Baureihen GS160, GS170, GS180, GS270 (plus) sowie GS370 (plus) haben wir zuletzt einen Lösungsvorschlag für betroffene Kunden zur Verfügung gestellt.

    Im Verlauf des Freitags (09.04.2021) hat sich herausgestellt, dass bei einigen Geräten der beschrieben Lösungsweg nicht zur vollständigen Beseitigung der unerwünschten Apps führte. Entsprechend empfehlen wir betroffenen Kunden die vollständige Löschung des Geräts durch das Zurücksetzen in den Werkszustand. Wir empfehlen zudem Daten, die sich auf einer im Smartphone eingebrachten Speicherkarte befinden, ebenfalls zu löschen und die Karte zu formatieren.

    Sollten nach diesem Vorgehen immer noch Probleme auftreten, bieten wir betroffenen Kunden an, sich an den Gigaset Kundendienst zu wenden [Telefon +49 (0)2871 912 912, zum Festnetztarif Ihres Anbieters], um das Gerät für weitere Analysen einzusenden.

    Wir bedauern eventuelle entstandene Probleme unserer Kunden und halten Sie fortlaufend über Neuigkeiten informiert.

  20. Michaela sagt:

    Ich habe nun eine neue App entdeckt, die sich installiert hat:
    Android Easter Egg

    In den weiten des Internets habe ich gefunden, dass das jemand als Ransomware einstuft…
    Das Handy war definitiv nicht mehr am Netz (Sim Karte ist draußen, WLAN aus und PW geändert). Ich wollte nur Daten sichern.

    • Volko sagt:

      Nach meiner Beobachtung auf dem GS180 sollte "/system/app/EasterEgg/EasterEgg.apk=com.android.egg" standardmäßig auf den Geräten installiert sein und daher nicht mit dem Malware-Befall in Zusammenhang stehen.

  21. Gert sagt:

    Ich dachte die haben die Update Server vom Netz genommen!!!

    Nun verbinde ich das GS170 mit dem WLAN und schwups ist der BBQ Browser und bis jetzt 5 weitere wieder installiert… wie kann das den sein???

    • Günter Born sagt:

      Gehe davon aus, dass die Angreifer nicht so blauäugig sind, einen Update Server mit viel Aufwand zu kompromittieren um sich dann auszuruhen. Denen ist doch klar, dass diese Infektion binnen Stunden oder Tagen aufgedeckt wird, die Server heruntergefahren werden und die Angriffe dann aufhören.

      Ergo infiziert man das Gerät mit einem Trojaner/Downloader/Dropper, der danach selbsttätigt weitere Malware oder gelösche Schad-Apps von anderen Servern nachlädt. Genau das passiert imho auf vielen Geräten. Hinzu kommt möglicherweise, dass WhatsApp manipuliert ist und Re-Infektionen über diese Kette passieren.

      Ich schrieb initial: Gerät stilllegen und warten, was der Hersteller anbietet.

      Ich schrieb in den letzten drei Blog-Beiträgen, dass ich skeptisch bin, dass eine Säuberung mit der von Gigaset vorgeschlagenen Vorgehensweise gelingen könnte (hatte es vorsichtig formuliert – Bauchgefühl sagte mir, dass man die Geräte in den Elektroschrott geben sollte – Verstand sagte mir "Vorsicht, wenn Gigaset es schafft, ein komplett sauberes Image auf die Geräte zu fläshen und ale Datenpartitionen zu leeren, könnte es vielleicht klappen – ich gehe momentan davon aus, dass mein Bauchgefühl besser als der Verstand, der da wider besseres Wissen agierte, getroffen hat).

    • Volko sagt:

      Anhand meiner Beobachtungen der beiden bei uns befallenen GS180 und der Kommentare hier im Blog spricht meiner Ansicht nach viel dafür, dass die Infektion zunächst über 3 Apps, die durch den System-Updater vom kompromittierten Server heruntergeladen wurden erfolgte; in unserem Fall: auf einem GS180 easenf, smart, xiaoan und auf dem anderen gem, smart, xiaoan.
      Über diese Apps müssen dann meines Erachtens bei anderen Betroffenen die weiteren Schadkomponenten auf deren Smartphones gekommen sein, was bei uns allem Anschein nach glücklicherweise durch den von mir bereits vor längerer Zeit aus Datenschutzgründen bei uns Zuhause im Router eingestellten, alternativen DNS-Server geblockt wurde. Betreffend die von mehreren Besitzern der Modelle GS160/170 gemeldeten erneuten Infektionen trotz Deaktivierung bzw. Deinstallation der Update-App „com.redstone.ota.ui" mittels adb ergeben sich nach meinem Dafürhalten zwei Möglichkeiten:
      1) das System-Update auf dem GS160/170 funktioniert auf etwas andere Weise als auf dem GS180;
      2) die von den primären Schädlingen nachgeladenen sekundären Malware-Komponenten haben einen weiteren Infektionspfad implementiert

      Den Kommentaren hier im Blog nach zu urteilen, aber natürlich ohne es beweisen zu können, spricht meiner Meinung nach alles für 2).

      In diesem Fall wären für eine vollständige Entfernung der Schadsoftware, insofern man überhaupt alle Komponenten sicher identifizieren kann, Root-Rechte für den Zugriff auf die geschützten Systembereiche notwendig … für den Normalanwender ein von Anfang an aussichtsloses Unterfangen.
      Bleibt also nur noch ein offline auf das betroffene Gerät aufzuspielendes von Gigaset bereitgestelltes, sauberes Systemabbild mit vollständiger Löschung des gesamten internen Flashspeichers … für den Normalanwender ebenfalls ein von Anfang an aussichtsloses Unterfangen.

      => Elektroschrott!

      Das wirft dann auch gleich die Haftungsfrage für den entstandenen wirtschaftlichen Schaden auf?

  22. Paki84 sagt:

    Also ich habe die manuelle Deinstallation der betroffenen Dateien bei unseren Handys (GS170) einmal durchgeführt.Bei allen kam nach kurzer Zeit TAYASE wieder aufs Handy, also habe ich es noch einmal Deinstalliert. Zudem hatte Bitdefender mir die App "Appupdate" als Schadsoftware angezeigt, also habe ich auch diese einmal Deinstalliert. Bis dato (ca 10Std) ist keine Schadsoftware mehr auf dem Handy gefunden worden. Jedoch ist auf einem Gerät weiterhin eine Umleitung auf eine Spieleseite aufgetaucht und bei dem anderen Gerät kommt regelmäßig die Fehlermeldung, dass Google-Play Dienste und der Playstore nicht reagieren 🤔.
    Des Weiteren wird mir in regelmäßigen Abständen "Sim Process" mit einem Ausrufezeichen im Warndreieck angezeigt in der Benachrichtigungszeile.

    Von einem Automatischen Update habe ich übrigens auf beiden Handys nichts bemerkt bisher…wie äußert sich das denn? Müsste doch analog eines manuellen laufen – also mit Neustart etc?
    Manuell kann ich hier übrigens keine Firmware-Aktualisierung vornehmen, da immer gesagt wird ich sei auf dem aktuellen so.

    Alles in allem habe ich ein extrem schlechtes Bauchgefühl bei der Sache und überlege ernsthaft neue Handys und neue SIM-KARTEN zu orderne…..Gigaset darf sich an den Kosten gerne beteiligen

  23. Buche sagt:

    GS 370:
    9.4.21ca. 9 Uhr Tayase wieder da und neu Easter-Egg.
    Seit 9.4.21 ca. 11 Uhr Update eingestellt, Simkarten entfernt, WLAN an:
    schwarzer Bildschirm mit „Gigaset"Schriftzug.
    gestern Gerät ziemlich warm, heute nur noch lauwarm.
    jetzt Versuch zu starten – geht nicht. auch nicht mit Simkarten eingelegt.
    wieder entfernt. WLAN aus.
    Kontaktiere hotline:((

  24. Paki84 sagt:

    Habe eine weitere Antwort vom Support erhalten, die ich euch nicht vorenthalten möchte….

    Im Verlauf des Freitags hat sich herausgestellt, dass bei einigen Geräten der beschriebene Lösungsweg nicht zur vollständigen Beseitigung der unerwünschten Apps führte. Entsprechend empfehlen wir betroffenen Kunden die vollständige Löschung des Geräts durch das Zurücksetzen in den Werkszustand. Wir empfehlen zudem Daten, die sich auf einer im Smartphone eingebrachten Speicherkarte befinden, ebenfalls zu löschen und die Karte zu formatieren.

    Sollten nach diesem Vorgehen immer noch Probleme auftreten, bieten wir an, das Gerät für weitere Analysen an uns einzusenden. Gerne lassen wir Ihnen einen Retourenschein zukommen, damit Sie das Gerät kostenfrei zu uns einsenden können.

    Wir bedauern eventuelle entstandene Probleme und halten Sie über unsere Service-Seiten im Internet fortlaufend über Neuigkeiten informiert.

    • Gerold sagt:

      Ist die aktuelle Verlautbarung aus dem Gigaset Blog von gestern Freitag, siehe meinen Kommentar von gestern Abend 19:45, einfach etwas nach oben blättern.

  25. Lars S. sagt:

    Hallo zusammen,

    ich habe diesen Blog täglich mitgelesen und das Thema verfolgt. Auf euren Rat habe ich das Handy (GS270_plus) mehrere Tage ausgeschaltet gehabt (SIM, SD-Karte raus). Vielen Dank dafür!
    Zusätzlich habe ich alle Kennwörter abgeändert und alle Daten gesichert. Das hat mich viele Stunden Zeit gekostet…

    Gigaset empfiehlt ja seit dem 09.04. das Handy auf Werkseinstellungen zu setzen, dann soll alles wieder funktionieren.
    Gestern Nacht habe ich dann den Factoryreset gemacht (ohne SIM). Telefon mit dem WLAN-Gastzugang verbunden, und als erstes Kaspersky Total Security installiert + geupdatet. Vollständige Scannung, nichts gefunden. Soweit so gut.

    Dann wollte ich die neue Systemaktualisierung installieren. Leider klappt das nicht!
    Einstellungen -> Über das Telefon -> Systemaktualisierungen -> Aktuelle Version = GIG_GS270_plus_S122
    Klicke ich dort auf "Auf Updates prüfen" kommt die Fehlermeldung "Überprüfung fehlgeschlagen" Wie kommt das?

    In den Einstellungen prüft er täglich auf neue Updates und soll diese auch automatisch herunterladen. Der Hersteller sagte ja was von 8 Stunden im Internet lassen. Dies habe ich über Nacht getan. Fazit: Es ist nichts passiert!

    Seit Factory-Reset verhält sich mein Telefon so:
    Sim ist drin, formatierte SD-Karte ist drin, Internet nur über Gast-Zugang (ständig verbunden seit 09.04. ca 23:00Uhr)

    + Akkuverbauch wieder normal also wie "vor dem Virusbefall" (kein Leersaugen)
    + Antivirenprogramm findet keine Viren mehr (Untersuchung ca alle 3-4 Stunden)
    + keine Tap Öffnungen im Browser mit den Glücksspielseiten
    + keine selbstständig von dem Virus installierten Apps
    + Geschwindigkeit beim Akkuaufladen konnte ich noch nicht prüfen da Akku noch zu voll zum Aufladen ist (75%)
    + Whatsappkonto ist weiterhin gesperrt und lässt sich momentan nicht mehr rückgängig machen ("Deine Telefonnummer ist nicht mehr für die Benutzung von WhatsApp zugelassen. Kontaktiere den Support für Hilfe")
    + Update für Systemaktualisierung schlägt fehl! Momentaner Stand GIG_GS270_plus_S122
    "Überprüfung schlägt fehl" so kann es nicht bleiben.

    Was mache ich bzgl. des Updates falsch bzw was kann ich tun?

    • Markus sagt:

      Hallo Lars,
      du hast alles richtig gemacht.
      Durch die Werkseinstellungen wirst du wohl den alten Update-Anbieter aktiviert haben, der wurde seitens Gigaset gekündigt (2019).
      Also kein Server vorhanden, -> "Überprüfung fehlgeschlagen"
      Du kannst Gigaset eine Chance geben, dein Handy auf die aktuelle Version up-graden, dazu gibt es in Großstädten Service-Poinst , die deine Hnady upgraden (Nachfrage bei Gigaset).
      Besser: Ticke öffnen, … update auf neuste firmware,. dann hast du dein Smartphone in 2 Tagen wieder bei dir. Nur das nachinstallieren … dauert.

    • Markus sagt:

      Blog lesen is(s)t gut, aber zu viele Köche verderben den Brei.

  26. SRiHo sagt:

    Hallo,
    Lagebericht zu GS160 (Einziges Smartphone!)
    Habe nach der Feststellung, dass keine Schad-Apps mehr installiert waren, die vom Hersteller empfohlene Software-Updates durchgeführt.
    Während der 8 Stunden war der orangefarbene Schriftzug auf schwarzem Hintergrund zu sehen. Danach startete es nicht und konnte auch nicht angeschaltet werden. Die Herausnahme der Batterie hatte ebenfalls nicht geholfen. Es startete weiterhin nicht und blieb beim orangefarbenen Schriftzug auf schwarzem Hintergrund hängen.
    Fazit: "Updated in den Schrott" auf Empfehlung des Herstellers
    Lösung und Rettung: Einer der Marktführer (Korea) traf gestern zu Hause ein.

  27. Bolko sagt:

    Die GIGASET Smartphones kann man mit der App "KingoRoot" (nicht verwechseln mit KingRoot) ganz einfach rooten.
    Mit diesem One-Klick-Rooter umgeht man die sonst übliche aufwändigere Prozedur, die der Benutzer manuell durchführen muss.

    Da es mittels KingoRoot so kinderleicht ist, die Gigasets zu rooten, wird sich der Angreifer diese Gelegenheit wohl nicht entgehen lassen haben und hatte also vermutlich vollen Zugriff auf alle Partitionen und konnte dadurch auch Treiber installieren, etwa um Tasten umzuprogrammieren die dann ein Ausschalten verhindern, Apps zu verstecken und Reinigungsbefehle abzufangen.

  28. Bolko sagt:

    Google hat ab Android 8.0 Oreo ein Sicherheitsfeature eingebaut namens Anti-Rollback (ARB).
    Das soll verhindern, dass ROMS mit niedrigerer Versionsnummer installiert werden, damit etwa Diebe keine früheren Sicherheitslücken ausnutzen können.

    Wenn man aber trotzdem ein früheres ROM mit einer niedrigeren ARB-Nummer flasht, dann wird das Booten verweigert.
    Vielleicht hat GIGASET diese Sicherheitsfunktion nicht bedacht?

    Vielleicht hatte der Angreifer auch einfach eine abnormal hohe ARB-Version reingepatcht, so dass alle sonst üblichen ROMS einfach eine zu niedrige Nummer haben und dann vom Bootloader als ungültig abgewiesen werden, was dann zur Bootschleife führt?

    Vor einer Reparatur mittels ROM müsste man also erstmal überprüfen, ob und welche ARB Version das aktuell befallene Smartphone überhaupt besitzt, sonst führt ein Reparaturversuch zu gebricktem Smartphone.

    • Kukkatto sagt:

      Kann ich so nicht bestätigen. Ich hatte mal ein Samsung von Android 9 auf Android 8 zurückgeflasht; das ging ohne Probleme und lief ohne Beanstandung – aber nicht übermäßig lange, da einige Monate später dann ohnehin Android 10 nachgeschoben kam … das Teil läuft immer noch …

      • Bolko sagt:

        Samsung hält sich nicht an die Vorgaben von Google, sondern benutzt eine eigene Implementierung namens "KNOX WARRANTY VOID"-Counter.
        KNOX zählt mit ob und wie oft das Betriebssystem geändert oder gerootet wurde und ab einem bestimmten Punkt hat man ein Problem.
        Normalerweise steht de Zähler auf 0x0.
        Bei Root oder Upgrade oder Downgrade zählt der hoch.
        Bei dir steht der jetzt vermutlich auf 0x01.
        Falls der Zähler nicht auf 0x0 steht, dann ist die Garantie erloschen und Samsung braucht das Gerät im Fehlerfall nicht zu ersetzen.

        Anzeigen kann man sich den Zähler mit "KNOX-Status Samsung".

        LineageOS und ResurrectionRemix umgehen Anti-Rollback auch, indem sie die Firmware-Partition nicht neu schreiben.

  29. Anonymous sagt:

    Gigaset GS270plus. Freitag Abend alle Updates installiert, Malware mit Malwarebytes entfernt. Gestern den Tag über FactoryReset gemacht und nur WhatsApp und MalwareBytes installiert.

    Heute kam nun eine Meldung von WhatsApp dass die Nummer auf einem anderen Gerät aktiviert wurde. Das geht ja nur wenn jemand heute Nacht den Code von der SMS von meinem Telefon hätte übernehmen können.

    Es scheint also immer noch was drauf zu sein. Malwarebytes findet aber nichts.

    Dies direkt wieder an Gigaset gemeldet.

  30. Bolko sagt:

    Falls man ein sauberes ROM-Image hat, dann könnte man das auf den Smartphones mit Mediatek Chip so im EDL-Mode ohne Authorisierung flashen:
    h**ps://forum.xda-developers.com/t/guide-how-to-bypass-authentication-and-flash-in-edl-with-no-auth-for-free.4229683/

    Falls GIGASET keine sauberen ROMS zum Download anbietet, man aber selber jemanden kennt, der noch ein sauberes GIGASET-Smartphone des selben Modells hat, dann könnte man sich das ROM dort rausziehen mit dieser Methode:
    h**ps://android.stackexchange.com/questions/203283/backup-dump-kernel-image-and-full-rom-without-root-for-mediatek-devices

    Dieser Aufwand lohnt aber normalerweise nicht, sondern man sollte sein defektes verseuchtes Smartphone an GIGASET schicken und ein sauberes Ersatzgerät verlangen.

    Ein paar saubere ältere ROMS für die Modelle GS100, GS160, GS180, GS270, GX290 habe ich gefunden und eine kleine Liste zusammen gestellt:
    h**ps://pastebin.com/fbfsA3Hx

    Aber man muss schon selber sehr genau wissen, was man wie damit anfängt.

  31. Iche sagt:

    Habe ein GS370 (Android 8, Sicherheitsupdate 5. Nov. 2018 -ein Neueres ist nicht verfügbar!!!),
    vermeintlich sind alle Schadprogramme gelöscht (im abgesicherten Modus und im Flugmodus). Laut Bitdefender ist Telefon sicher.
    Zuvor smart, gem und xiaoan gefunden und deinstalliert, Tage zuvor hatte play protect auch com.yhn.4621.ujm0317 blockiert.
    Telefon war jetzt mehrere Tage ohne SIM-Karte und nur über Wlan im Netz: Verhalten unauffällig, aber nach wie vor zu hoher Akkuverbrauch (von 75% auf 25 % in 10h)!
    Nachdem ich auch das Google-Konto vom Telefon gelöscht hatte zeigte sich auch ein ganz normaler Akkuverbrauch (6% in ca. 9h)!
    Oh Wunder, heute Morgen, Systemupdate von Gigaset (hoffentlich). GIG_GS370_S127 mit 351,98 MB. Einen Versuch war es Wert, Installation hat reibungslos funktioniert. Ob das Problem damit gelöst vage ich zu bezweifeln (nachdem was ich hier alles gelesen habe).
    Fazit ich werde das Telefon trotzdem entsorgen. Schadensersatzansprüche werden ja sicher von Gigaset im Kleingedruckten ausgeschlossen sein.
    Die Einzige, die sich freut ist meine Frau, sie bekommt ein neues Telefon😉 (aber kein Gigaset mehr)
    Danke für die vielen Informationen.

    • Anonymous sagt:

      Ich verstehe 1. nicht wieso entsorgen und 2. wieso Du meinst dass Gigaset nicht haftbar sein soll?

      Es sind hier hunderte Smartphones betroffen (falls nicht tausende). Alle zeigen mehr oder minder das gleiche Verhalten und es steht ja wohl außer Frage dass der erste Schädling vom Updateserver von Gigaset kam.

    • Anne sagt:

      mmh, hatte heute morgen kein Update von Gigaset, allerdings auch ein GS170

  32. Bolko sagt:

    Habt ihr das schon gelesen vom GIGASET-Service im Blog:

    Zitat:
    Raphael Doerr 10.04.2021Antworten
    Hallo McG,
    vielen Dank für Ihre Frage. Für die von Ihnen beschriebene Vorgehensweise ist spezielles Fachwissen notwendig. Wir empfehlen diesen Vorgang nicht für die breite Anwenderschaft, sondern nur für technisch versierte Personen. Sie finden die entsprechenden Firmware Versionen (bis auf für die Modelle GS160 und GS170) unter diesem Link: h**ps://www.gigaset.com/de_de/cms/service/downloads.html
    ZITAT ENDE

    Geht man auf den Link und stellt in der linken Listbox (Kategorie) "Smartphone" ein und rechts "GIGASET GS170" oder GS160, dann kommt man zwar zur Bedienungsanleitung, aber der Reiter "Firmware" ist daektiviert.

    Den Reiter "Firmware" kann man klicken bei diesen Geräten:
    GS100 ja
    GS160 nein
    GS170 nein
    GS180 ja
    GS270 ja
    GS270 plus ja
    GS370 ja
    GS370 plus ja

    Also sind alle Firmwares bis auf die des GS160 und GS170 jetzt für den Download bereit.
    Auf gehts.
    Holt euch erstmal was ihr braucht.

    Frage:
    Warum fehlen die Firmwares für das GS160 und GS170 immer noch?

    Edit:
    Oh, sorry.
    Wenn man auf "Download" klickt, dann kommt man nur zu einer Kurzbeschreibung, wie man das über den im Smartphone integrierten Updater machen kann bzw es handelt sich lediglich um ein changelog.
    Also wertlos.

    Die Auskunft des Supports ist also irreführend.
    Was soll das ?

    • Gerold sagt:

      Bei Gigaset hat mans mitgekriegt dass es dort keine Firmwaredownloads gibt, ist ein Kommunikationsproblem …

      Raphael Doerr 11.04.2021 Antworten

      Hallo McG,
      ich entschuldige mich, ich habe hier von den Kollegen eine falsche Information weitergeleitet bekommen.
      Ich bin gerade noch in Rücksprache was hier los ist.

      Mit freundlichen Grüßen, ^RD

    • McG sagt:

      Hallo Bolko,

      gerne möchte ich die Geschichte mit GigaSet hier weiterschreiben.

      Nach dem letzten Post zur Firmware, wurde alle weiteren Posts an Herr Doerr einfach nicht mehr released. Sehr traurig…

      Darüber hinaus habe ich ein Ticket eröffnet, da ich vor der komplette Löschung einmal das Telefon hochfahren möchte, um die Bilder zu sichern.

      Dieses Ticket befindet sich nun seit 5 Tagen in der Warteschleife. Habe bereits dreimal beim Service nachgefragt, wurde vertröstet und habe immer wieder die gleiche Antwort bekommen: Sie müssen Ihr Smartphone zurücksetzen, sonst verschwindet die Malware nicht.

      Firmware nicht in Sicht…Habe eben noch einmal den Support kontaktiert und die Optionen angeboten: entweder Firmware zu mir oder Techniker zu mir nach Hause schicken, denn das Gerät gebe ich sicherlich nicht aus der Hand und zu erfahren, dass doch die Daten gelöscht wurde.

      Alles in allem finde ich es sehr bedauerlich wie GigaSet die Kunden abspeist, denn zugehört wird einem nicht und das GigaSet wirklich weiterkommt bei der Analyse des Problems, bzw. das sie wissen was sie tun, das Gefühl habe ich leider absolut nicht mehr.

      Vielleicht bekomme ich ja eine Firmware…ansonsten gerne offen für Idee wie ich an die letzten Daten zwischen Backup und Befall komme,

      euer McG

      • McG sagt:

        Hallo Zusammen,

        anbei möchte ich Euch gerne ein Update zu meinem Fall geben.

        Nach vielen weiteren Emails mit Gigaset und Vorschlägen von GigaSet funktioniert folgender Lösungsweg die Daten zu retten.
        GigaSet war diesbezüglich so freundlich und hat mir eine 64 GB SD Card vorformatiert auf einem GS 370Plus per Post zugesendet.

        Dies funktioniert mit Android 7.0 und 7.1:

        – SD Card einlegen.
        – Im Recovery Menü (beim Start LAUTER und Power ON Taste gedrückt halten.
        – Dann bei "no Command" Power ON und Lauter drücken, dann LAUTER Taste loslassen.
        – Dann Backup erstellen auswählen.
        – Nach erfolgreichem Backup SD Card aus dem Gerät nehmen
        – Dann Factory Reset
        – KEIN UPDATE durchführen und Gerät offline halten
        – Gerät normal neustarten.
        – Alle Einrichtungsaktivitäten überspringen, WLAN aus lassen.
        – Gerät ausschalten
        – SD Card einlegen
        – wieder in den Recovery Modus wie oben
        – Restore backup from SD card
        – Daten auf PC sichern
        – Updates durchführen und ggf. Update auf Android 8.0

        So kann man wenigstens die Daten retten.

        Hoffe es hilft Euch. Ich konnte so wenigstens meine Daten retten.
        PS. Der Schlüssel ist eine in einem GigaSet vorformatierte SD Card.
        PPS. Hier hilft durchaus ein Service-Partner bei der Formatierung.

        Viele Grüße,

        McG

  33. Anna sagt:

    Hallo zusammen,

    ich habe noch eine Frage. Darf man die Sim Karten weiter benutzen? In einem anderen gerät?

    Vielen Dank

    • Günter Born sagt:

      Ich plane dazu was für heute, Kurzfassung: SIM-Karte samt Telefonnummer problemlos in anderem Gerät weiter verwenden -> eher nein. Muss aber jeder selbst auf Grund der Informationen, die mir im Kopf herum gehen, entscheiden.

      • Andreas sagt:

        Also ich benutze die SIM-Karte jetzt in einem Samsung: bislang keine Probleme mehr. Meine Telefonnummer ist zwar für WA verbrannt, aber sonst dürfte weiter nichts passieren. Die SIM kann ja nicht geklont werden, dazu müsste sie dem Angreifer ja physikalisch vorliegen. Eine andere Frage: sollte man eigentlich Strafanzeige gegen Unbekannt stellen oder sollten/müssten das nicht wenigstens die Firmen WA und Gigaset tun?

        • Marion sagt:

          Ich schließe mich deiner Erfahrung an. Ich benutze meine Simkarte auch weiter in einem neuen Samsung, ohne Probleme. Sogar WhatsApp konnte ich dank Backup problemlos wiederherstellen mit allen Kontakten. Es waren auch keine fremden Nachrichten oder sonstwas auffälliges dabei.
          Habe jetzt zur Sicherheit ein Antivirenprogramm drauf.
          Mein GS170 werde ich auf keinen Fall wieder in Betrieb nehmen!

  34. Bolko sagt:

    Fremde WhatsApp-Accounts kann man einfach abschalten lassen, wenn man die Telefonnummer kennt:
    https://winfuture.de/news,122280.html

  35. Gerold sagt:

    Neues aus Bocholt, veröffentlicht im Gigaset Blog, das Wesentliche, Betroffene sollten den ganzen Beitrag lesen:

    Zurücksetzen auf Werkseinstellungen notwendig

    Wir empfehlen betroffenen Kunden die vollständige Löschung des Geräts durch das Zurücksetzen in den Werkszustand. Wir empfehlen zudem Daten, die sich auf einer im Smartphone eingebrachten Speicherkarte befinden, ebenfalls vorher zu löschen und die Karte zu formatieren. Hierzu:

    Warum muss das Gerät zurückgesetzt werden?
    Grund hierfür ist, dass die initial durch den kompromittierten Server auf einige Smartphones gelangten schadhaften Apps nach aktuellem Kenntnisstand weitere schadhafte Apps nachladen, die ebenfalls unerwünschte Auswirkungen auf das Smartphone haben. Um dies zu unterbinden, muss das Smartphone in den Werkszustand zurückgesetzt werden. Hierdurch wird gewährleistet, dass sämtliche schadhaften Apps aus dem Speicher entfernt werden. Eine Wiederherstellung der persönlichen Daten und Apps kann dann kundenseitig über die gängigen Cloud- und PC-Backups erfolgen.

    Warum kann ich kein neues Firmware-Update manuell aufspielen?
    Das Problembild, das durch die schadhaften Apps verursacht wird, kann nicht durch das reine Aufspielen einer aktuelleren Firmware-Version behoben werden. Dies hängt mit dem oben beschriebenen Problem zusammen, dass die schadhaften Apps weitere schadhafte Apps laden und daher das Betriebssystem in einen reinen, nicht kompromittierten Urzustand zurückgesetzt werden muss.

    https://blog.gigaset.com/uvms/

    • Alexander Breig sagt:

      So. Brav alles gemacht. Karte formatiert. GS170 auf Werkseinstellung zurück gesetzt. Neu gestartet und schon findet malwarebytes wieder was.
      Android/Trojan.HiddenAds.ACI
      Beim Versuch das beheben zu lassen kommt die Meldung: Update ist eine System-App und kann nicht deinstalliert werden. Auch deaktiviern geht nicht, da hellgrau. Fazit des Ganzen ist also, dass die Fachleute hier recht haben.
      Vielen Dank noch an die vielen Kommentatoren und besonders an Sie, Herr Born. Machen Sie weiter so.
      Ohne diesen Blog wüsste man glaube ich immer noch nicht mehr.
      L.G. Alex

  36. Paki84 sagt:

    Also bei uns sind 3 von 3 SIM-Karten aufgrund der ganzen anrufen und WhatsApp aus dem Kongo und Co verbrannt. Nach den neuen Handys nun auch neue SIM-Karten…..da freue ich mich schon auf den Rechtsstreit mit Gigaset.

  37. Anne sagt:

    hab hier vor Stunden eine Anfrage gestellt
    keine Veröffentlichung

    ??
    Brauche Hilfe

    • Volko sagt:

      Hallo Anne,

      vermutlich enthält Deine Anfrage URLs und muss daher manuell von Herrn Born zur Veröffentlichung freigegeben werden.

      Du kannst also warten oder einen zweiten Kommentar ohne URLs mit Deinem Anliegen verfassen (und Herrn Born bitten, den ursprünglichen Kommentar ggf. zu löschen)

      Was ist denn das Problem?

      • Günter Born sagt:

        Ich habe den Kommentar von Anne (der unter einem anderen Artikel gepostet wurde) heute früh aus dem Papierkorb gefischt und manuell freigegeben.

        @Anne: Als Pseudo-Rentner, der seit 1.3. bin, nehme ich mir schlicht die Freiheit, nicht täglich rund um die Uhr stündlich hier in die Blogs zu schauen. Gestern habe ich gegen 17:00 Uhr Feierabend gemacht und erst heute morgen in den Blog rein geschaut – wird ein schlimmes Ende mit mir nehmen ;-).

        Der obige Text ist jetzt kein Vorwurf an Anne, sondern schlicht die Erklärung eines Sachverhalts. Wir Blogger sind zwar seltsame Wesen, ich auch mal nachts bei Kerzenschein arbeiten. Aber auch wir haben gelegentlich ein Privatleben ;-)

        @Anne: Kann aber deine Sorgen verstehen – daher habe ich unter dem oben verlinkten Kommentar auch geantwortet – kann aber nicht wirklich helfen. Vielleicht weiß einer der Leser was und antwortet.

Schreibe einen Kommentar zu Heisenberg Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.