Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1

[English]Von der Firma Gigaset wurde zum 8. April 2021 eine Information Lösung Malware-Angriff Smartphones zum Malware-Befall diverser Android-Geräte (seit dem 1. April 2021) herausgegeben. Dort findet sich auch eine Anleitung, wie Betroffene ihre Geräte vom Malwarebefall säubern können sollen. In nachfolgendem Text bereite ich die Informationen von Gigaset auf und ergänze diese um eigene Erkenntnisse, angereichert um die vielen hier offen gebliebenen Fragen. Danach sollte jeder Besitzer von Gigaset-Geräten entscheiden, wie vorzugehen ist.


Anzeige

Malware-Befall auf Gigaset Android-Geräten

Im Blog-Beitrag Lösung Malware-Angriff Smartphones schreibt der Hersteller, dass bei einigen älteren Smartphones Probleme mit Schadsoftware aufgetreten sind, was bei routinemäßigen Kontrollanalysen aufgefallen sei. Ausweislich der Aussagen des Herstellers wurde die "Infizierung von Smartphones am 7. April 2021 abgestellt". Die ersten Infektionen habe ich im Artikel Gigaset Android-Update-Server liefern vermutlich Malware aus mit 1. April 2021 nachweisen können.

Welche Modelle sind nicht betroffen?

Gemäß Aussage von Gigaset sind die Smartphone-Modelle der Smartphone-Baureihen GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 und GS4 von diesem Malware-Befall nicht betroffen.

Hier ist aber die Frage offen, was mit dem Gigaset GS280 ist. Ich verweise auf den Kommentar von Bolko, der schreibt: Außerdem fehlt in der Liste der betroffenen Geräte mindestens das GS280 oder sollen die 51 Dateien mit jeweils 19,93 MB. normal sein?

Diese Modelle sind potentiell betroffen

Laut Gigaset sind potentiell ausschließlich ältere Smartphone-Modelle der Baureihen GS100, GS160, GS170, GS180, GS270 (plus) sowie GS370 (plus) betroffen. Ich interpretiere dies so, dass dies am verwendeten Update-Server festgemacht wird – von denen einer nach Aussage von Gigaset durch einen Lieferkettenangriff (Supply-Chain-Attack) betroffen war und über einen in der Firmware vorhandenen Auto-Updater Malware auslieferte.

Ergänzung: Inzwischen wird es für mich etwas klarer – es sieht so aus, als ob historisch zwei Update Provider (#1 Redstone, #2 Adups) von Gigaset zur Aktualisierung verwendet wurden/werden. Bei älteren Geräten ist ein System-Updater von Redstone in der Firmware in Verwendung und von denen wurde mutmaßlich ein Server kompromittiert. Die System-Updates kommen von Gigaset Deutschland und Polen, werden aber über die Update-Server in China (die als Provider fungieren) ausgeführt. Was mir unklar ist: Wieso können Dritte da so einfach Pakete auf einen Update-Server bereitstellen und das fällt nicht auf? Wird nicht digital signiert, oder ist ein privater Schlüssel zum Signieren abhanden gekommen?

Nicht alle Geräte betroffen, Update fehlte?

Die Rückmeldungen der Leserschaft und meine Erfahrungen mit eigenen Geräten zeigen, dass nicht alle Exemplare der oben genannten Modelle infiziert wurden. Gigaset schreibt dazu:

Nach jetzigem Informationsstand wurden aus den betroffenen Produktlinien nur einige Geräte, bei denen die in der Vergangenheit seitens Gigaset zur Verfügung gestellten Software-Updates nutzerseitig nicht ausgeführt wurden, infiziert. Auf diese Geräte wurde durch einen kompromittierten Server eines externen Update-Service-Providers Schadsoftware aufgespielt.

Leider bleibt der Hersteller bedeckt, was die Details der "zur Verfügung gestellten Software-Updates" betrifft. Im Blog-Beitrag Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware hatte ich darauf hingewiesen, dass Sicherheitsforscher den in der Firmware der Gigaset-Android-Smartphones installierten Auto-Installer com.redstone.ota.ui auch als Android/PUP.Riskware.Autoins.Redstone bezeichnen. Das wäre der System-Updater des Providers Restone. Hier wäre gut gewesen, zu wissen, welche Komponente (com.redstone.ota.ui oder update.apk etc.) hätte installiert werden müssen. Blog-Leser Bolko wirft in diesem Kommentar die gleichen Fragen auf, die mir so durch den Kopf gehen.

Das ein nicht installiertes Software-Update fehlte und die Infektion dadurch ermöglicht wurde, kann ich nicht ausschließen. Aber die Aussage des Herstellers möchte ich nicht unkommentiert stehen lassen. Die Aussage ließe sich so interpretieren, als ob der Benutzer da ein Update verweigert hat (vorsichtig ausgedrückt). Dem wird in diesem Kommentar (und in Rückmeldungen, die ich von anderen Nutzern erhalten habe) vehement widersprochen. Es könnte auch schlicht so sein, dass die Update-Ansätze des Herstellers nicht funktionieren und Leute diese Aktualisierungen nie bekommen haben. Ich verweise mal auf diesen Kommentar von Blog-Leser Niklas, der das Problem an der Aussage des Herstellers aufzeigt:

Wir haben ca. 110 Gigaset GS370 Plus im Einsatz. Alle über ein mdm gesteuert. Dort sind alle Möglichkeiten zur App Installation fernab der von mir freigegeben Apps blockiert.

Sprich:

Kein apk sideload
Kein Playstore
Keine Installation über irgendeinen Weg.

Einzig der Update Mechanismus der Firmware ist weiterhin offen gewesen.

Sollte das (Sicherheits-)Update von Gigaset als App per Google Play Store oder APK-Side-Load und nicht als Firmware-Aktualisierung vorgesehen worden sein, wären die Gigaset-Geräte nicht für eine Verwaltung per Mobile Device Management (MDM) geeignet. Hier bleibt die Frage offen, ob Fehler der Benutzer oder ein Versagen des Update-Mechanismus zu den jetzigen Problemen führten. Feststellbar ist jedenfalls, dass der Restone-System-Updater durch die jetzt angelaufenen System-Updates entfernt wird.


Anzeige

Problem Update-Server von Drittanbietern

An dieser Stelle weise ich auf ein Problem hin, welches in der gesamten Angelegenheit nonchalant als "Update-Server eines Providers" umschrieben wird. Ausweislich der Kommentare zu diesem Gigaset-Blog-Posts verwenden die Modelle GS3 und GS4 die Update-Server der ADUPS Ltd. benutzen. Die in Shanghai beheimatete chinesische Firma bietet zwar Update-Services für eine Milliarde Geräte an. Kann man so tun, aber man sollte die Auswahl auch aus Zuverlässigkeitsgesichtspunkten vornehmen. Und da deuten sich nach meinem bisherigen Wissen Probleme an.

Der Anbieter ADUPS LTD. genießt seit Jahren einen Ruf, der alles andere als "weiße Weste" darstellt. Ich verweise auf den heise-Beitrag Adups: Android-Riskware mit Déjà-vu-Effekt, der kein wirklich gutes Gefühl zurück lässt, wenn dies der Provider ist, der Gigaset Geräte-Updates verwaltet. Da es 2019 einen Malware-Befall bei Gigaset-Geräten gegeben hat (siehe folgende Anmerkung), an dem mutmaßlich der vorherige Provider Redstone involviert war, und deren Update-Server mutmaßlich jetzt wieder in einem Lieferkettenangriff kompromittiert wurden und die Schadsoftware auslieferten, wirft auch das kein gutes Bild auf die Angelegenheit.

Anmerkung: Was auch, zumindest bei mir, Fragezeichen auf der Stirn hervorruft: Es ist ja nicht der erste Vorfall bei Gigaset-Geräten, die durch per Update-Server ausgerollte Malware infiziert wurden (siehe diesen Artikel aus 2019). Zudem verweise ich auf diesem Kommentar hier im Blog, der angibt, dass Gigaset-Modelle im türkisch-sprachigen Raum als Kaan N Serie vermarket werden. Dort hat es im August 2020 einen Malware-Befall gegeben – dummerweise ist mein Türkisch sauschlecht, so dass ich die Details noch nicht evaluieren konnte.

Malwarebefall soll automatisch korrigiert werden

In einem Vorgespräch per Telefon vor einigen Tagen gab es von Gigaset die Aussage, dass man die Infektion des Update-Servers gestoppt habe, es werde keine neue Malware mehr ausgeliefert und man habe in Zusammenarbeit mit dem Provider sogar eine Lösung bereitstellt, dass sich betroffene Geräte automatisch bereinigen. Das liest sich in der Mitteilung von Gigaset so:

Gigaset hat umgehend eingegriffen und Kontakt mit dem Update-Service-Provider aufgenommen. Dieser hat unmittelbare Maßnahmen ergriffen und Gigaset gegenüber bestätigt, dass die Infizierung von Smartphones am 7. April abgestellt werden konnte.

Es wurden Maßnahmen getroffen, um infizierte Geräte automatisch von der Schadsoftware zu befreien.

Dazu müssen die Geräte mit dem Internet verbunden sein (WLAN, WiFi oder mobile Daten). Wir empfehlen zudem, die Geräte an das Ladegerät anzuschließen. Betroffene Geräte sollten binnen 8 Stunden automatisch von der Schadsoftware befreit sein.

An dieser Stelle gibt es zumindest Zweifel, dass dies bei allen Benutzern funktioniert (ob es bei niemandem funktioniert, kann ich nicht beantworten). Der Kommentar hier bestätigt zwar, dass schädliche Apps weg seien – aber die Browser-Umleitungen in Google Chrome erfolgen weiterhin. Zudem verweise ich an dieser Stelle diesen Kommentar vom 8. April 2021, der zu meinem Artikel bei heise eingegangen ist. Alleine der Aufruf des Google Play Store reichte, um die nachfolgende Meldung angezeigt zu bekommen.

Play Protect-Warnung

Wenn also die schädliche App com.yhn4621.ujm0317 am 8. April 2021 weiterhin auf dem Gerät gefunden und gemeldet wird, kann es (zumindest auf diesem Gerät) mit der Immunisierung nicht geklappt haben. Ergänzung: Über Nacht sind zum Morgen des 9. April erste Rückmeldungen eingetroffen, dass die Geräte bereinigt seien und kein schädliches Verhalten mehr zeige. Es gibt also durchaus Gerätebesitzer, wo das Auto-Update geholfen hat.

Es lässt sich also festhalten: Mit der automatischen Immunisierung der Geräte klappt es nicht immer zuverlässig, wie von Gigaset angegeben. Zudem habe ich deutliche Bauchschmerzen, ein kompromittiertes Gerät, das Daten (z.B. über WhatsApp) versendet, und dessen Stillegung ich empfohlen hatte  (Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten) wieder ans Netz gelassen wird. Was man aktuell als Betroffener machen kann, wenn man sich auf das Auto-Update einlassen möchte:

  • SIM-Karte aus dem Gerät entfernen, und WhatsApp sowie SMS tot legen (z.B. WhatsApp und den SMS-Messenger als App deinstallieren/deaktivieren), um den Versand von Nachrichten während der Update-Phase zu verhindern.
  • Das Gerät an ein Ladegerät hängen, da der Update-Vorgang bis zu 8 Stunden dauern kann, das gestartete Gerät möglichst am Gast-Zugang eines WLAN-Routers anmelden und updaten lassen.
  • Danach eine Antivirus-App installieren, um zumindest über mögliche Malware informiert zu werden.
  • WhatsApp- und SMS-Nachrichten mit aller Vorsicht behandeln, da durch den Vorfall die Gefahr der Rückinfektion besteht.

Ich hoffe, dass mit diesen Maßnahmen zumindest der größte Mist während des Auto-Updates verhindert werden kann. Wie es mit den Anleitungen von Gigaset zum manuellen Bereinigen ausschaut, und warum das nicht immer oder sehr schlecht funktioniert, behandelte ich in Teil 2 dieser Artikelreihe. Dort wird auch angesprochen, was noch zu bedenken ist.

Ähnliche Artikel:
Gigaset Android-Update-Server liefern vermutlich Malware aus
Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)
Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten
Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021)
Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware
Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)

Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1
Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 2
Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)
Gigaset-Malwarebefall und das WhatsApp/SIM-Problem


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Android, Sicherheit, SmartPhone abgelegt und mit Android, Gigaset, Malware, Sicherheit, SmartPhone verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1

  1. Peter sagt:

    Hallo zusammen,
    erstmal vielen Dank für Ihre hervorragende Arbeit, Herr Born! Und auch vielen Dank an alle, die hier so viele brauchbare Beiträge abliefern.
    Ich benutzte seit Sommer 2018 das GS270plus (welches ja wie das einfache 270 übrigens als "Bild Volks-Smartphone" groß vermarktet wurde;), siehe hier: https://www.pressebox.de/pressemitteilung/gigaset-communications-gmbh/Gigaset-praesentiert-in-gemeinsamen-Aktion-mit-BILD-de-das-neue-Volks-Smartphone-Gigaset-GS270/boxid/873480 )
    Die Art und Weise, wie Gigaset in den letzten Tagen agiert, finde ich ehrlich gesagt erschreckend. In der ersten Mitteilung Tage nach den ersten Berichten wird von durch "routinemäßige Kontrollanalysen" der Firma gefundene und durch "Anfragen von einzelnen Kunden" bestätigte Probleme gesprochen… …und dann heute dieses problematischen Empfehlungen! Über die Update-App wird kein Wort verloren! Mit am schlimmsten finde ich allerdings die unterschwellige Behauptung, dass es ein Verschulden der Kunden sei, da sie keine Systemupdates zugelassen hätten. Ich achte immer sehr darauf, dass meine Software auf dem neuesten Stand ist und hatte mich schon sehr gewundert, dass seit 2018 keine Updates mehr gekommen waren. Blockiert habe ich diese mit Sicherheit nicht, sondern habe vielmehr des öfteren nachgesehen, ob ich Systemupdates manuell runterladen könnte, da ja keine automatischen kamen. Aber immer hieß es, dass System sei auf dem aktuellen Stand.

  2. Bolko sagt:

    Ein User hat bei einem GS270plus vor der Reparatur und nach der Reparatur durch Gigaset eine Paketliste mit adb gezogen und verglichen.

    Ergebnis:
    /system/app/Rsota/Rsota.apk=com.redstone.ota.ui
    fehlt hinterher

    dafür kam ein Paket als Ersatz hinzu, nämlich ADUPS-Updater:
    /system/app/AdupsFotaUpdate/AdupsFotaUpdate.apk=com.adups.fota

    Also war doch der REDSTONE der Übeltäter.
    Der Drittanbieter mit dem kompromittierten Update-Server ist also höchstwahrscheinlich jemand mit Namen REDSTONE.

    h**ps://www.heise.de/forum/heise-online/Kommentare/Gigaset-Malware-Befall-von-Android-Geraeten-des-Herstellers-gibt-Raetsel-auf/Anleitung-von-Gigaset-erhalten/posting-38689309/show/

    • Kukkatto sagt:

      Redstone wird von Malwarebytes beanstandet – interessanterweise aber dann, wenn es als .apk auf der SDK zur Installation bereitsteht … (NB: ich hatte mal ein Backup der Apps auf die SD-Karte gemacht) die installierte Systemapp wird nicht beanstandet …

    • Bolko sagt:

      Das sind die Übeltäter namens Redstone:
      h**p://www.redstone.net.cn/index-en.html
      (.cn" = China")

      "OTA upgrade technology for Android"

      das ist gelogen von Redstone:
      High security
      Carrier-grade security, zero-user complaints

      • Bolko sagt:

        Was auch noch auffällt:
        h**p://www.redstone.net.cn/index-en.html

        Die benutzen also nichtmal https, also keine SSL-Verschlüsselung.
        Dabei habe ich HTTPS-Everywhere installiert, was also unbedingt die https-Übertragung bevorzugt, falls diese angeboten wird.
        REDSTONE kennt also offenbar gar keine SSL-Übertragung auf ihrer eigenen Webseite.
        Sicherheit wird da ganz klein geschrieben.

  3. Bolko sagt:

    Der alte Drittanbieter #1 ist REDSTONE (kompromittiert).

    Der neue Drittanbieter #2 ist ADUPS.

    Bei der Reparatur wird Redstone gelöscht und Adups als Ersatz installiert.

    Nichts und niemand kann aber jetzt garantieren, dass nicht genau dieselbe Supply-Chain-Attacke irgend wann einmal über die ADUPS-Server läuft, genauso wie sie auch schon inzwischen mehrfach über die REDSTONE-Server abgelaufen ist.

    Am Grundproblem ändert sich nämlich nichts:
    GIGASET hat keine Kontrolle über die Update-Server.
    Adups ist schon mehrmals wegen Backdoors aufgefallen.
    Quellen dazu hatte ich bereits verlinkt.

    Dieses Problem ist nicht auf GIGASET beschränkt, sondern betrifft auch mindestens BLU, UMI, ZTE und auch sonst alle, die Fremdserver für Updates benutzen.

    Updateserver gehören ausschließlich in die Hand des Herstellers des Betriebssystems (Google) und / oder in die Hand des Geräteherstellers (GIGASET zum Beispiel) oder der Gerätehersteller muss unbedingt alle Updates mit seinem privaten und geheimen Siganturschlüssel signieren und die Updates über einen eigenen OTA-Updater holen und diesen Schlüssel auf gar keinen Fall dem Betreiber des Updateservers aushändigen.

    Ansonsten schlage ich mal vor, dass sich in Zukunft die Microsoft-Kunden ihre Updates von meinem privaten Server holen, das wird bestimmt ganz spaßig.

  4. bp4willi sagt:

    Hi Bolko,
    mein GS280 hat kein redstone.ota sondern den adups.fota und ist trotzdem infiziert worden. Ich denke, die Infizierung ist nur noch nicht so plakativ offensichtlich geworden , für die Nutzer der "neueren" Geräte .
    (PS. nutze kein Whatsapp oder Facebook)
    Die Infizierung ist vermutlich auf Vorrat, bis die Verursacher neue lukrative Angriffspunkte ergänzen.
    Ich stelle gerne weitere Applisten oder ADB apk pulls bereit…
    habe ich auch Gigaset geschrieben.

    • Günter Born sagt:

      Das ist ein wichtiger Hinweis – hatte ich so nicht auf dem Radar und lässt schlimmes befürchten. Interessant wäre, ob ein Gigaset Auto-Update an der adups.fota was ändert und nach Installation der Firmware-Images erneut Infektionen auftreten.

    • Bolko sagt:

      Vielen Dank für den Hinweis.
      Dann irrt oder lügt GIGASET und der angebliche FIX kann dann gar nicht funktionieren.

      Falls aber beide Update-Provider (REDSTONE und ADUPS) gleichzeitig kompromittiert sind, dann sieht das eher aus wie ein staatlich gesteuerter gezielter Angriff.

      Ein Motiv gibt es auch:
      Der Ukrainische Präsident hatte nämlich Ende März ein Dekret 117/2021 unterschrieben, welches die Rückeroberung der Krim befielt und damit praktisch eine Kriegserklärung an Russland bedeutet.

      h**ps://www.president.gov.ua/documents/1172021-37533

      Die Wasserversorgung der Krim wurde auch schon gekappt.

      Da Russland und China Verbündete sind könnte China das zum Anlass genommen haben, eine deutliche Warnung an Deutschland zu senden, indem es die deutsche Firma Gigaset ernsthaft durch einen solchen Cyberangriff bedroht.

      Man kann sich auch mal ein paar Videos anschauen, was die da an militärischem Material rund um die Ukraine auffahren.

      • bp4willi sagt:

        Mein GS280 ist mittlerweile gratis im werk neu geflasht worden.
        Ich vertraue jetzt, dass es wieder sicher ist.
        Kurz danach kam auf eine Sim karte eine "werbe sms" aus dem ausland. Die ich selbstredend ungelesen gelöscht habe.
        Hoffe das GS280 bleibt von neuen angeiffen verschont.

  5. Andi sagt:

    Hallo Herr Born,

    sehen Sie eine Gefahr darin den Whatsapp-account unter neuer Nummer in einem neuen Gerät weiterzuverwenden?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.