Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)

[English]Ältere Modelle von Gigaset Smartphones sind ab dem 26. März 2021 – und verstärkt ab 1. April 2021 – über die Update-Server des Herstellers durch Malware befallen worden. Der Hersteller Firma Gigaset hat zum 8. April 2021 die Information Lösung Malware-Angriff Smartphones mit Hinweisen zur Bereinigung des Malware-Befalls seiner Android-Geräte herausgegeben. Das funktioniert, nach bisherigen Rückmeldungen, bei vielen Leuten aber nicht wirklich. Jetzt gibt es eine revidierte Anleitung von Gigaset vom 12. April 2021 zur Bereinigung der Geräte. Daher ein kurzes Update mit den neuesten Erkenntnissen.


Anzeige

Erkenntnisse zur Infektion

Was sich aus Rückmeldungen und Analysen Betroffener langsam herauskristallisiert: In der Firmware der älteren Gigaset Android-Smartphones wurden zwei Update-Provider (Nr. 1: RedStone, Nr. 2: Adups), die beide in China residieren, verwendet. Wenn ich die Verlautbarungen von Gigaset und die bei den Update-Versuchen vorgenommenen Änderungen richtig interpretiere, sollte:

  • der  Update-Provider RedStone (möglicherweise nach dem ersten Malware-Befall in 2019) nicht mehr für die Bereitstellung von Updates fungieren,
  • der Wechsel auf den Adups Update-Server wurde durch eine Aktualisierung der Geräte-Firmware angestrebt. Diese Aktualisierung scheint nicht auf allen Geräten erfolgreich durchgeführt worden zu sein.

Nun ist es Dritten gelungen, wie Gigaset eingestanden hat, über einen Lieferketten-Angriff die Schadsoftware per Update-Server zu verteilen. Ich hatte die Sicherheitsforscher von Malwarebytes über Twitter informiert. Diese schreiben in diesem Beitrag zum Gigaset Malware-Befall,  dass ein in der Firmware vorinstalliertes Paket com.redstone.ota.ui als System-App die Verteilung der Malware übernehme. Diese System-App sei aber nicht nur der System-Updater des Mobilgeräts, sondern auch ein Auto-Installer, bekannt als Android/PUP.Riskware.Autoins.Redstone. Es war also ein Update-Server von Redstone, der kompromittiert war. Unklar bleibt an dieser Stelle, ob Updates nicht digital signiert wurden oder ob der private Schlüssel zum Signieren von Updates in die Hände Dritter gelangte.

Inzwischen verwendet Gigaset den Firmwareupdate Service der Firma Adups, wie man in diesem Gigaset-Blog-Beitrag in den Kommentaren für die  Gigaset Smartphones GS3 und GS4 erfährt. Auf neueren Gigaset-Geräten sollte dann der Adups Update-Service über den Prozess com.adups.fota verwendet werden – das Kürzel FOTA steht dabei für Firmware Over The Air.

Gigaset schreibt zwar, Adups sei ein namhafter Hersteller, der den Update-Service bereits für über 1 Milliarde Kunden weltweit anbiete. Der Provider übernehme in diesem Zusammenhang die Funktion eines reinen Anbieters einer Serviceplattform zum Aufspielen der Softwareupdates. Die Gigaset eigene Entwicklung in Deutschland und Polen stelle dieser Plattform ausschließlich von Gigaset-geprüfte Android Gerätesoftware zur Verfügung. Mein Problem: Bereits 2017 berichtete heise im Beitrag Adups: Android-Riskware mit Déjà-vu-Effekt, dass dieser Anbieter Adups einen sehr zweifelhaften Ruf genießt.

Ein Blog-Leser berichtet mir über Facebook seine Beobachtungen, die ziemlich genau das obige Szenarios beschreiben:

Bei mir war auf beiden Geräten die größte Hürde: Ohne das erste manuell geflashte Update standen keine Updates bereit. Die Geräte waren auf einem Patchstand August 2018, und behaupteten steif und fest es gäbe keine Updates.

Meine Theorie: Die haben ab einer Version, die ich nie bekommen habe, den Update Server gewechselt, und den alten gibt es nicht mehr. Unsere Geräte haben immer nur auf dem alten gesucht und dort (außer Viren ab einem gewissen Punkt) nichts gefunden.

Und beim alten Update-Server wird es dann bitter. In einer technischen Analyse haben die Sicherheitsexperten von Malwarebytes herausgefunden, dass über com.redstone.ota.ui gleich drei Versionen der Malware Android/Trojan.Downloader.Agent.WAGD auf die infizierten Systeme installiert wurde. Der Paketname dieser Malware beginnt immer mit "com.wagd." und wird vom Namen der App (gem, smart, xiaoan) gefolgt. Ich hatte im Blogbeitrag hier die Folgen der Infektion durch die Schadsoftware Android/Trojan.Downloader.Agent.WAGD skizziert. Zudem wurden einige Mobilgerätebesitzer mit der Schadsoftware Android/Trojan.Downloader.Agent.WAGD infiziert. Die Installation erfolgte dabei auf Spiele-Webseiten, auf die der Benutzer durch Browser-Redirects durch den Trojaner Android/Trojan.Downloader.Agent.WAGD umgeleitet wurde. Über den Downloader wurden diverse Schad-Apps, vom Crypto-Geld-Miner bis hin zum Trojaner, der bösartige SMS-Nachrichten senden kann, um die Infektion weiter zu verbreiten, installiert.

Ergänzung: Hatte es im Hinterkopf, aber auf die Schnelle nicht gefunden. Der Kommentar hier:

mein GS280 hat kein redstone.ota sondern den adups.fota und ist trotzdem infiziert worden. Ich denke, die Infizierung ist nur noch nicht so plakativ offensichtlich geworden , für die Nutzer der „neueren" Geräte. (PS. nutze kein Whatsapp oder Facebook)
Die Infizierung ist vermutlich auf Vorrat, bis die Verursacher neue lukrative Angriffspunkte ergänzen.

macht mich ganz hibbelig. Denn das heißt doch, dass auch der neue Adups-Update-Server per Lieferkettenangriff infiziert wurde (oder es liegt ein großer Irrtum vor).


Anzeige

Ab diesem Zeitpunkt blieb eigentlich nur noch, das Gigaset Smartphone still zu legen, da die Geräte  in meinen Augen kompromittiert waren. Die installierte App yhn4621.ujm0317 (base.apk) wird zum Beispiel immer wieder installiert. Zudem wurden weitere Schädlinge, die teilweise über die (möglicherweise infizierte) Store Apps nachgeladen wurden, gemeldet und hier sowie hier. Die Schadsoftware com.wagd.xiaoan.apk nutzt wohl ein Botnetz zur Verteilung weiterer Schadsoftware (siehe). Was da am Ende des Tages an Schadsoftware auf den Geräten war, kann niemand a priori sagen, da sich das von Gerät zu Gerät ändern kann.

Erfolglose Reparaturversuche von Gigaset

Im Grunde ist ja der Hersteller Gigaset für die Beseitigung der Schadsoftware verantwortlich – sollten die doch ihr System am besten kennen. Die vom Hersteller Firma Gigaset zum 8. April 2021 herausgegebene Information Lösung Malware-Angriff Smartphones mit Hinweisen zur Bereinigung des Malware-Befalls seiner Android-Geräte erwies sich aber als Totalausfall. Die Infektion der Geräte konnte nach den Rückmeldungen der Blog-Leserschaft nicht beseitigt werden. Inzwischen hat Gigaset zum 12. April 2021 eine modifizierte Anleitung zur Bereinigung der infizierten Geräte veröffentlicht – Blog-Leser Gerold hat hier darauf hingewiesen:

Zurücksetzen auf Werkseinstellungen notwendig

Wir empfehlen betroffenen Kunden die vollständige Löschung des Geräts durch das Zurücksetzen in den Werkszustand. Wir empfehlen zudem Daten, die sich auf einer im Smartphone eingebrachten Speicherkarte befinden, ebenfalls vorher zu löschen und die Karte zu formatieren. Hierzu:

Warum muss das Gerät zurückgesetzt werden?
Grund hierfür ist, dass die initial durch den kompromittierten Server auf einige Smartphones gelangten schadhaften Apps nach aktuellem Kenntnisstand weitere schadhafte Apps nachladen, die ebenfalls unerwünschte Auswirkungen auf das Smartphone haben. Um dies zu unterbinden, muss das Smartphone in den Werkszustand zurückgesetzt werden. Hierdurch wird gewährleistet, dass sämtliche schadhaften Apps aus dem Speicher entfernt werden. Eine Wiederherstellung der persönlichen Daten und Apps kann dann kundenseitig über die gängigen Cloud- und PC-Backups erfolgen.

In der verlinkten Gigaset-Anleitung sind diese Schritte näher beschrieben. Dieser Ansatz hat leider zwei Probleme, die so in der Anleitung nicht auftauchen, aber real sind.

  • In diesem Kommentar schreibt ein Blog-Leser, dass ihm das Zurücksetzen auf den Werksauslieferungszustand nichts gebracht habe. Die App von Malwarebytes findet den Schädling Android/Trojan.HiddenAds.ACI. Ob da ein Fehler beim Zurücksetzen passiert ist, kann ich so nicht beurteilen.
  • Es gibt eine Reihe Benutzer, die (u.a. hier, hier und hier bei Benutzer Paul), die nach dem Zurücksetzen auf den Werksauslieferungszustand nicht mehr bootende Geräte vorgefunden haben.

Zieht man einen Strich unter diese obigen Erfahrungen, bleibt die ernüchternde Feststellung, dass wir nach einer Woche genau so weit sind, wie an Ostern. Die Reparaturanleitungen des Herstellers Gigaset ermöglichen keine zuverlässige Bereinigung der infizierten Geräte (ich drücke es mal positiv aus, denn es bleibt die Frage, ob überhaupt irgend eines der Geräte erfolgreich bereinigt wurde). Es bleibt also weiterhin bei meiner Empfehlung, die Geräte still zu legen und ggf. als Reklamation an Gigaset zur Reparatur zu schicken.

In einem weiteren (geplanten) Artikel fasse ich noch einige Gedanken zusammen, warum auch auch mit der Wiederverwendung der SIM-Karte auf einem anderen Gerät ein Problem sehe oder zumindest sehr vorsichtig agieren würde. Das gilt speziell für den Missbrauch von WhatsApp und SMS.

Ähnliche Artikel:
Gigaset Android-Update-Server liefern vermutlich Malware aus
Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)
Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten
Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021)
Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware
Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)

Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1
Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 2
Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)
Gigaset-Malwarebefall und das WhatsApp/SIM-Problem
Nachtrag zum Malwarebefall bei Gigaset Android-Smartphones


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, SmartPhone abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)

  1. Bolko sagt:

    1.
    GIGASET geht also davon aus, dass die System-Partition sauber ist.
    Wodurch ist das garantiert?
    Warum wird die System-Partition nicht sicherheitshalber mit einem sauberen Image neu geschrieben?
    Welche Partitionen wurden denn während des Reparaturversuches durch GIGASET neu geschrieben, was dann zu den gebrickten Smartphones geführt hat?

    ZITAT aus dem GIGASET-Blog:
    Warum kann ich kein neues Firmware-Update manuell aufspielen?
    Das Problembild, das durch die schadhaften Apps verursacht wird, kann nicht durch das reine Aufspielen einer aktuelleren Firmware-Version behoben werden. Dies hängt mit dem oben beschriebenen Problem zusammen, dass die schadhaften Apps weitere schadhafte Apps laden und daher das Betriebssystem in einen reinen, nicht kompromittierten Urzustand zurückgesetzt werden muss.
    [ZITAT ENDE]

    GIGASET hat zwar recht mit "Das reine Aufspielen" wird den Schaden nicht beseitigen (wenn man die DATA-Partition und die SD-Karte nicht löscht), aber das Schreiben eines sauberen Image in die Recovery-Partition und die System-Partition (da liegt das Betriebssystem Android) wäre vor einem Factory-Reset (das löscht die DATA-Partition mit den Userdaten) sicherer, denn upgedatete System-Apps werden sonst nicht entfernt.
    Dass der Redstone-Updater Zugriff auf die System-Partition hat, ist klar, denn wie sonst könnte er den neuen Adups-Updater in diese System-Partition reinschreiben?
    Außerdem hat User "haluk" das im heise-Forum bewiesen, dass bei einem automatischen Reparaturversuch die Updater-Apps in der Systempartition ausgetauscht wurden, also der Schreibzugriffsmöglichkeit auch für die Malware bestand.

    Wenn also der Redstone Zugriff auf die System-Partition hat, wie kann man dann annehmen oder sicherstellen, dass die System-Partition nicht auch mit Malware befallen ist?
    Wird das Problem ignoriert oder wurde bisher bei den forensischen Untersuchungen von befallenen Smartphones dieses nicht entdeckt oder ausgeschlossen?

    Durch welche App oder Treiber in welcher Partition wurde die Tastenbelegung verändert, die ein Ausschalten der Smartphones verhinderte?

    2.
    Zitat aus dem GIGASET-Blog:
    Eine Wiederherstellung der persönlichen Daten und Apps kann dann kundenseitig über die gängigen Cloud- und PC-Backups erfolgen.
    [ZITAT ENDE]

    Wodurch ist sichergestellt, dass die Malware-Apps nicht aus der Backup-Cloud zurück kopiert werden?
    Wie wird denn unterschieden, ob zum Beispiel das Spiel "Ducky" absichtlich vom User oder durch die Malware installiert wurde?
    Falls die Backup-Cloud gesäubert wurde, dann bitte auflisten, von welchen Apps genau und nach welchen Kriterien.

    3.
    ZITAT aus GIGASET-Blog:
    In Zusammenarbeit mit dem Update-Service-Provider konnte am Tag nach unserer Erstmeldung sichergestellt werden, dass seitens des kompromittierten Servers keine weiteren Smartphones infiziert werden.
    [ZITAT ENDE]

    An welchem Tag war das genau?
    Einen Werkreset hatten ein paar User nämlich schon versucht, aber das hatte nicht funktioniert, weil die Malware wieder kam.

    Läuft der automatische Reparaturversuch durch GIGASET weiter, so dass nach einem Werkreset weiterhin mit gebrickten Smartphones zu rechnen ist, weil die automatische Reparatur nicht funktioniert?

    4.
    Sollte man den Redstone-Updater nach dem Factory-Reset aktiv lassen oder deaktivieren und durch Adups-Updater ersetzen?

    Welche Sicherungsmaßnahmen gibt es jetzt, die so einen Malware-Befall über die beiden Update-Provider Redstone und Adups in Zukunft verhindern sollen?

    Wurden und werden die Updates von GIGASET signiert und wer hat Zugriff auf den Signaturschlüssel?

    5.
    Sind Firmware-Updates geplant und falls ja, für welche Modelle und von welchem Update-Server kommen diese (Redstone oder Adups)?

    6.
    Warum werden weiterhin keine sauberen ROM-Images zum manuellen Download angeboten?

    7.
    Sind die GIGASET-Smartphones mit Anti-Rollback geschützt und falls nicht, warum ignoriert man die Vorgaben von Google und falls ja: ab welchem Modell und welcher Firmware und kKönnte das der Grund für die gebrickten Smartphones sein?

    8.
    Ersetzt GIGASET den entstandenen Schaden durch die höheren Telefonkosten und die Premium-Käufe in den Gewinnspielen und die gebrickten Smartphones freiwillig oder gibt es weiterhin nur einen Rabatt von 15 Prozent für den Kauf eines neuen GIGASET-Smartphones?

    • Knut sagt:

      "Wie wird denn unterschieden, ob zum Beispiel das Spiel „Ducky" absichtlich vom User oder durch die Malware installiert wurde?"

      Der App "Ducky" sollte man im jeden Fall nicht vertrauen, auch wenn diese absichtlich vom User über den Google Play Store installiert wurde. Da die Malware diese App mit nachinstalliert, muss eine Verbindung zum Malwarebetreiber bestehen, und sei es nur im besten Fall, dass der Autor der "Ducky" App diesen Betrügern Geld für Installationen gezahlt hat, um diese App im Play Store zu pushen (was den schlechten Bewertungen nach jedoch ziemlich nach hinten losgegangen ist).

      Und da die App auch keine In-App Käufe anbietet (jedenfalls vom Autor so angegeben im Play Store, nur Werbung), ist es auch sehr unwahrscheinlich, dass die Malware diese App ohne Mitwissen des Autors installiert, um sich an Provisionen für automatisierte Premium-SMS Dienste zu bereichern (was hingegrn bei einigen anderen nachinstallierten Apps zu vermuten ist, obwohl ich Casino-Apps mit Briefkasten in Steueroasen etwa auch einiges zutraue, in der Hinsicht).

      (Nicht nur) ich habe Google den Sachverhalt zur "Ducky" App auch gemeldet, aber das scheint die nicht weiter zu kümmern, wird nach wie vor im Play Store zum Download angeboten, was auch gut zu wissen ist, denn damit kann man leider den (zumindest eher unbekannten) Apps im Play Store auch nur bedingt über den Weg trauen, dass Google da ausreichend geprüft hat und es mir auch wenig verwunderlich erscheint, warum Malware Apps gerade immer wieder im Play Store Einzug erhalten.

  2. Gerold sagt:

    Hat nicht direkt mit Gigaset zu tun, jedoch mit WhatsApp, die Malware auf den Gigaset Geräten könnte alle Freischalt-SMS abfangen.

    Neue WhatsApp Sicherheitslücke: Angreifer können Konten deaktivieren

    Der original Artikel auf englisch bei:
    https://www.forbes.com/sites/zakdoffman/2021/04/10/shock-new-warning-for-millions-of-whatsapp-users-on-apple-iphone-and-google-android-phones/?sh=6fc89e8e7585

    oder auf deutsch bei Tarnkappe:

  3. Anonymous sagt:

    >> In diesem Kommentar schreibt ein Blog-Leser, dass ihm das Zurücksetzen
    >> auf den Werksauslieferungszustand nichts gebracht habe. Die App von
    >> Malwarebytes findet den Schädling Android/Trojan.HiddenAds.ACI.
    >> Ob da ein Fehler beim Zurücksetzen passiert ist, kann ich so nicht beurteilen.

    Wenn der Benutzer etwas falsch gemacht hätte, dann hätte ich den gleichen Fehler gleich 2x gemacht!

    Ich habe bei unserem GS170 inzwischen 2x die SD-Karte formatiert und das Gerät 2x auf Werkseinstellungen zurückgesetzt.

    Und völlig logischerweise ist der redstone Installer noch da. Natürlich. Wieso sollte diese System-App durch ein zurücksetzten auf Werkseinstellungen auch verschwinden? Das ist doch gar nicht möglich.

    Und ebenso völlig logisch finden diverse Virenchecker (bei mir MalwareBytes) dann dieses APK und meckern es an!

    Ich habe inzwischen bei Gigaset um einen Rücksendeschein gebeten um das Gerät einzuschicken.

  4. Anonymous sagt:

    Nächste Hürde: Retoure nur mit GLS!!!

    Nun habe ich einen Retourenschein erhalten und Gigaset bietet als einzige Möglichkeit für eine kostenfreie Retoure den Versand mit GLS. Toll! Der nächste GLS-Shop ist mit dem Auto 18km entfernt. SUPER GEMACHT GIGASET!

  5. 1ST1 sagt:

    Wenn ich diesen Artikel richtig verstehe, hat Gigaset seinen Updatedienstleister schon 2018 gewechselt. Da frage ich mich allerdings, warum der Wechsel 3 Jahre später noch nicht auf den Endgeräten angekommen ist. Das muss sich auch jeder Besitzer eines solchen Gerätes fragen. Updates unterdrückt?

    • Günter Born sagt:

      Die letzten 2 Worte springen zu kurz (blame the victim greift deutlich zu kurz) – ist mehrfach von mir thematisiert worden. Was genau schief gelaufen ist, kann ich nicht sagen – Fakt ist, dass ein Teil der Geräte auf den alten Update-Server geschaut haben, diese aber keine Updates anbieten/angeboten haben.

  6. Bolko sagt:

    1.
    Es gibt auch IP-Sperren, die dann auch den Zugang über den PC betreffen.
    Siehe GIGASET-Blog-Beitrag von Dirk Uhrig 13.04.2021:
    [ZITAT]:
    Durch die Malware wird meine IP-Adresse inzwischen auf fünf verschiedenen Blacklists geführt. Manche Internetseiten sind für mich jetzt auch über den Home-PC gesperrt.
    [ZITAT ENDE]

    2.
    Hier in den Kommentaren unter den Born-Blog-Beiträgen zum Thema wurden fälschlicherweise 2 Apps als Malware klassifiziert, die aber laut GIGASET-Blog normal sind:
    com.wind.emode
    wind.windruntimetest

    3.
    Weiterhin ungeklärt ist, ob die 51 Dateien mit je 19,93 MB Größe auf einem GS280 normal sind.

  7. Hausmann sagt:

    Hallo!

    Vielen Dank für die vielen hilfreichen Hinweise in diesem Blog.
    Aus Vorsicht werde ich wohl meine beiden GS180 entsorgen. Gigaset macht mir nicht den Eindruck, als dass sie die Probleme völlig lösen könnten/wollen. Nicht jetzt und nicht in der Zukunft. Vielleicht ist man dann doch bei einem namhaften Hersteller besser aufgehoben. Ich trauere immer noch meinem Nokia Winphone hinterher. Das war ein für Hacker wohl viel zu unwichtiges Betriebssystem.
    Eine Frage habe ich aber noch. Mein Provider hält es nicht für nötig eine neue SIM-Karte zu benutzen. Welche Gefahr geht nun wirklich von der alten SIM-Karte aus oder liegt die Gefahr mehr in der weiteren Verwendung der alten Telefonnummer?
    Eine 3-Anbietersperre war immer bei unseren Nummern aktiv.

    • Knut sagt:

      "Welche Gefahr geht nun wirklich von der alten SIM-Karte aus oder liegt die Gefahr mehr in der weiteren Verwendung der alten Telefonnummer?"

      Es geht hier um die Telefonnummern, welche von der Malware "entwertet" werden, weil man sich damit nicht mehr bei WhatsApp und zusammenhängenden Diensten anmelden kann. Allerdings könnte dies auch für die betroffenen Smartphones selbst noch gelten, welche über die IMEI und weitere Merkmale eindeutig identifizierbar sind. Wer das Smartphone nicht bereinigt bekommt und dauerhaft samt Malware und damit auch als Teil eines Botnets weiter betreibt, kann durchaus noch damit rechnen, von den Providern dauerhaft vom Netz ausgesperrt zu werden (ähnlich wie es auch bei als gestohlen gemeldeten Smartphones passieren kann).

      Das SIM-Toolkit ermöglicht es zwar auch, kleine Programme auf einer SIM-Karte zu hinterlegen, beispielsweise Info-Services, oder eben auch Malware, allerdings sind davon eher Karten von Providern mit nachlässigen Schutzmechanismen betroffen, welche in der Form in Deutschland nicht zum Einsatz kommen (sollen):

      https://www.heise.de/newsticker/meldung/30C3-SIM-Karten-Angriffe-bleiben-bedrohlich-2072666.html

      • Hausmann sagt:

        Vielen Dank für die Klarstellung. Ich werde eine neue Nummer und eine neue SIM-Karte bestellen. Die Speicherkarten werden auch erneuert. Problem sehe ich noch in der Übertragung der Kontakte. Kann ich die Kontakte meines alten Handys über mein Google Konto auch das neue Handy mit neuer SIM/Telefonnummer übertragen oder ist das ein Sicherheitsrisiko?

        • Knut sagt:

          Oh ja, wenn die Backupfunktion von Google genutzt wurde, dann werden natüich auch die von der Malware hinzugefügten Kontakte wieder neu eingespielt.

          Und nicht nur das: Auch installierte Apps samt Einstellingen und SMS-Mitteilungen werden ggf. wieder hergestellt. Gut möglich, dass auch darüber wieder Neuinfektionen stattfinden.

          Vor einer neuen Anmeldung auf dem Smartphone also per Browser über http://www.drive.google.com/ mit dem Google Account einloggen, um dann dort die Android Backups zu löschen (gibt es eine gesonderte Kategorie dafür). Damit sind dann natürlich auch alle anderen Kontakte, SMS, Einstellungen zur Wiederherstellung vernichtet.

          Bei der Gelegenheit auch gleich das Google Passwort ändern und den Sicherheitscheck durchführen, welcher über folgende Seite erreichbar ist:

          https://myaccount.google.com/intro/security-checkup

          Doarüber kann man auch die so genannte zweifach Authentifizierung aktivieren, bei der sich nach Aktivierung über einen zweiten gewählten Weg zusätzlich angemeldet werden muss. So kann auch verhindert werden, dass die Malware-Betreiber den Account wieder kapern, und man wird über solche fehlgeschlagenen Login-Versuche von Dritten auch auf dem Smartphone in den Benachrichtigungen direkt gewarnt.

          • Hausmann sagt:

            Noch ne dumme Frage. Dann sind ja eventuell die Kontakte verseucht. Zum Übertragen auf ein neues Handy fällt dann auch die Speicherung in einer Datei (ich glaube vfc) weg und die Versendung dieser Datei per mail oder?
            Also bleibt nur die Eingabe per Hand?

          • Knut sagt:

            Da ich leider nicht direkt auf die nachfolgende Nachfrage antworten kann, als Nachtrag an dieser Stelle:

            Kontkdaten und auch SMS an sich enthalten keinen Schadcode. Ich bezog mich auf die Backupfunktion von Google, welche ggf. vormals installierte Apps samt Einstellungen wieder herstellt. Und damit auch Malware wieder installiert ist/wird.

            Die Kontkdaten würde ich deswegen nicht importieren, weil die Malware diese auf dem befallenen Smartphone verändert haben könnte und diese Änderungen dann von Google in das Backup übernommen wurden. Besonders beliebt sind beispielsweise Rufnummern mit einer Ortsvorwahl eine zusätzliche Null vorne anzufügen, so dass daraus dann eine sehr teure Auslandsrufnummer mit gültiger Ländervorwahl wird, die man dann anruft (beispielsweise Ortsvorwahl 0261 für Koblenz in 00261 für Madagascar, oder Handyvorwahl 0176 in 00176 gefolgt von einer 7 für die Dominica, was leicht übersehen wird, zumal man bei Anrufe aus den Kontakten zunächst auch nur den Namen des Kontaktes sieht).

            Die SMS will man schon deswegen nicht wieder importiert haben, weil darin von der Malware erzeugte Links zu Seiten beinhalten könnte, die zum Download und Installation neuer Malware auffordern. Wer nun meint, es gäbe ja noch diverse Warnhinweise, bis die heruntergeladene Malware auch tatsächlich installiert ist: Auf der elektronischen Bucht gibt es genug Smartphones und "Tabletten" (im vor allem unteren Preisbereich) zu erwerben, die mit gefälschter Androidversion ausgeliefert werden, vorgeben, eine aktuelle Android Version zu sein, welche tatsächlich noch Android 4 oder 5 enthalten, wo die Warnhinweise und Google Protect wie wir es heute kennen, eben nicht enthalten sind, zudem meist für den Slashhack bereits vorgerootet sind und wahrscheinlich schon von Haus aus auch noch bereits Malware enthalten.

  8. Sebastian sagt:

    Hab hier auch ein GS170 mit dem selben Fehler. Werksreset etc haben nichts gebracht. Lt. Hotline bin ich der einzige, der den Fehler hat.
    Ticket ist erstellt, mal schauen was passiert

    • Anonymous sagt:

      Das ist schlicht gelogen! Ich habe vor dem 14.04. auch mit dem Support telefoniert und denen gesagt dass weiterhin der Redstone-Install auf meinem GS170 drauf ist!

      Ich warte seit geraumer Zeit auf ein Rücksendelabel das ich für dieses Smarphone inzwischen 3x per Email angefordert habe.

  9. FH sagt:

    Vielen Dank für das Zusammentragen der ganzen bislang bekannten Informationen zu diesem Vorfall!

    Was mir Sorgen bereitet, ist der zitierte Kommentar zu einem scheinbar via adups kompromittierten GS280. Es wäre hilfreich zu erfahren, welche Spuren die Infektion dort hinterlassen hat, auch wenn sie "nicht so plakativ offensichtlich" ist.

    Gibt es denn hierzu mittlerweile Neuigkeiten? Damit meine ich keine abschließende Lösung, sondern eher, ob sich in den vergangenen Tagen hier oder anderswo weitere Meldungen von Benutzern aufgelaufen sind, deren Geräte von Gigaset eigentlich als "nicht betroffen" aufgeführt worden waren, dann aber dennoch Anzeichen zeigten, der aktuellen Malware-Attacke zum Opfer gefallen zu sein.

    Hintegrund ist, dass ich ein GS195 besitze. Nachdem ich am 5.4. vom aktuellen Angriff las, trennte ich es umgehend vom Netz (d.h. keine Datenverbindung, keine WLAN-Verbindung) und prüfte es seither mehrfach auf alle bekannten Anzeichen der Infektion (verdächtige Apps, Akkunutzung etc.), von denen aber keines auftauchte. Als letzte Systemaktualisierung wird Version Gigaset_GS195_9.0_V19_20210122_20210122-1818 angezeigt. Ich gehe davon aus, dass mein Gerät bislang noch sauber ist, bin aber noch unentschlossen, es wieder ans Netz (und somit an ggf. kompromittierte Updates) zu lassen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.