Gigaset-Malwarebefall und das WhatsApp/SIM-Problem

[English]Nach dem Malwarebefall diverser Gigaset Android Smartphones wurde bei zahlreichen Benutzern ja der WhatsApp-Zugang gesperrt. Es gibt die Möglichkeit, den Zugang wieder freischalten zu lassen. Da mehrfach gefragt wurde, ob man die SIM-Karte und WhatsApp mit der Telefonnummer gefahrlos weiter verwenden könne, habe ich mal einige Informationen zusammen getragen.


Anzeige

Das Drama um den Lieferkettenangriff (Supply-Chain-Attack) auf die Gigaset Android-Update-Server und die Infektion diverser Gerätemodelle mit Malware habe ich ja in den am Artikelende verlinkten Blog-Beiträgen (siehe z.B. Gigaset Android-Update-Server liefern vermutlich Malware aus) hier im Blog behandelt. Manche Nutzer hofften darauf, dass der Hersteller Gigaset eine Lösung findet, um die Geräte zuverlässig vom Malwarebefall zu befreien. Aktuell sieht es aber nicht so aus, als ob die Ansätze allzu erfolgreich sind (siehe z.B. Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)). Mein Ratschlag war, und ist es inzwischen auch weiterhin, die Geräte still zu legen. Was bleibt, ist aber die Frage: Was ist mit der SIM-Karte und meinem WhatsApp-Konto. Daher hier eine Zusammenfassung dessen, was man als Nutzer wissen sollte.

Die Malware und WhatsApp

In den Kommentaren zum Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus wird von vielen Betroffenen ausgeführt, dass das WhatsApp-Konto gesperrt wurde. Es muss also nach dem Malwarebefall der Geräte etwas gravierendes mit dem WhatsApp-Konto passiert sein, dass der Betreiber das Konto sperrt.

Mittlerweise ist die Sache klarer, denn ich hatte im Blog-Beitrag Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware die Analyse der MalwareBytes-Sicherheitsforscher aufbereitet:

Der auf den Geräten installierte Android/Trojan.Downloader.Agent.WAGD ist u.a. in der Lage, bösartige Nachrichten über WhatsApp zu versenden.

Die bösartigen WhatsApp-Nachrichten dienen laut den MalwareBytes-Sicherheitforschern höchstwahrscheinlich dazu, die Infektion auf andere mobile Geräte weiter zu verbreiten.

Es wurde auch ausgeführt, dass auf einigen Geräten Malware gefunden wurde, die in der Lage ist, bösartige SMS-Nachrichten zu versenden.

Ab diesem Zeitpunkt war klar, dass man nicht nur das Gerät still legen, sondern auch das WhatsApp-Konto gesperrt lassen sollte, bis alle Implikationen geklärt sind. Dass einige Nutzer mit ihren infizierten Geräten die WhatsApp-Sperre aufheben ließen und darauf mehrfach wieder gesperrt wurden, ist ein äußerst unschöner Sachverhalt – zurückhaltend ausgedrückt!

Anmerkung: In diesem Artikel vom 10. April 2021 hält Forbes eine böse Überraschung für die 2 Milliarden WhatsApp-Nutzer bereit. Angreifer können, wenn die Telefonnummer eines WhatsApp-Kontos bekannt ist, dieses per Telefonanruf deaktivieren. Es lässt sich auch verhindern, dass sich Nutzer wieder bei WhatsApp einloggen. Selbst eine Zwei-Faktor-Authentifizierung wird dies nicht verhindern. Wer sich über die Details informieren möchte, findet bei Forbes sowie in diesem Artikel bei Golem weitere Hintergrundinformationen.

Das WhatsApp-Konto wurde missbraucht

Alleine die obigen Ausführungen sollten WhatsApp-Nutzern zu denken geben. Gehe ich die Kommentare hier im Blog zu meinen diversen Gigaset-Beiträgen durch, wird klar, dass die Malware einen gravierenden Missbrauch von WhatsApp vorgenommen haben muss. Hier ein Kommentarauszug:

Bei WhatsApp war eine fremde Nachricht ( asiatisch/südamerikanisch aussehender, uniformierter Herr; später Frau m. Kind gleicher Herkunft.), die ich löschte.

Benutzerin Manu schreibt in diesem Kommentar:

Whatsapp war auch gesperrt. Nach ca. 24 Stunden konnte ich es wieder installieren. Da hatte ich massenweise Nachrichten von ausländischen Nummern. Nach recherchieren hab ich raus gefunden die Nummern kamen aus Nigeria.

Auch in diesem Kommentar beschreibt jemand nach einer WhatsApp-Sperre Anrufe aus Nigeria, Indien und Umgebung. Gleiche Informationen gibt es in diesem Kommentar, und hier hat jemand sogar Kontakte in WhatsApp verloren sowie einen neuen Kontakt hinzu bekommen – sprich: Die Kontaktliste wurde modifiziert. In diesem Kommentar heißt es:

Hallo, guten Morgen, ich habe das gleiche Problem mit einem GS270 Plus. Ich bin jedoch zu der Auffassung gekommen, das die genannten Dateien über whatsapp verbreitet werden. Grund: Nach der Deinstallation der Dateien erscheinen diese regelmäßig dann wieder, sobald ich whatsapp aufgerufen habe. Dafür spricht auch, dass Geräte ohne SIM-Karte nicht befallen sind.

Benutzer Jeff beschriebt in diesem Kommentar sehr plastisch seine Erfahrungen mit der Malware: Zugriff auf die Telefonnummer, Gespräche können mitgehört werden, Nummern werden gewählt, WLAN-Verbindung lässt sich trennen, Konten bei diversen Online-Anbietern werden geschlossen (wohl auf Grund von Versuchen, das Konto zu übernehmen). Ab diesem Zeitpunkt würde ich für mich beschließen, dass WhatsApp verbrannt ist – denn es besteht ja die Gefahr, dass meine Kontaktliste durch die Schädlinge ausgewertet und mein Bekanntenkreis dann mit Malware beglückt wird (wobei ich hier anmerke, dass ich seit 2018 aus Datenschutzgrünen kein WhatsApp mehr installiert habe).


Anzeige

WhatsApp-Übernahme versucht

In diesem Kommentar berichtet ein Nutzer, dass die Angreifer versucht haben, sein WhatsApp-Konto zu übernehmen – und in diesem Kommentar schreibt jemand:

Whatsapp gesperrt. Nummer lässt sich nicht mehr reaktivieren -> Anfrage WhatsApp läuft

Deinstallation Apps -> keine Wirkung

Interessant: Daten wurden wohl kompromittiert, da ich eine Nachrticht über Telegram erhielt (das meine Mutter nicht hat und auf dem Gigaset nicht installiert ist). Dachte, oh wie cool und hab mit Hi geantwortet -> Nachricht wurde übermittelt und auch gelesen .. Aber nicht auf dem Gigaset meiner Mutter, die hat gar kein Telegram!

Auf Facebook hatte ich in einer Sicherheitsgruppe Kontakt mit einem Betroffenen, der ebenfalls äußerst unschöne Erfahrungen gemacht hat. Auf meinen Post zum Malware-Befall meldete er sich und meinte, dass sein GS 270 nicht kompromittiert sei. Ich riet ihm, eine Antivirus-App mit laufen zu lassen. Ein paar Stunden später kam der Betreffende Nutzer mit folgendem Kommentar wieder.

Es ist gestern Nacht jetzt passiert. Eine App mit dem Namen com.inaction ist auf dem Gerät aufgetaucht, und ich war plötzlich in What App gesperrt. Ich habe com.inacton gelöscht, und konnte nach einer Mail an den Support Whats App per Anruf freischalten. Per SMS ging nicht, anscheinend wurde auch was gedreht das die Aktivierungs-SMS nicht durchkommt. Ich habe dann Chat Verläufe mit einer Nummer die mit +60 [beginnt], die ich nicht kenne gefunden. Ich habe das Gerät jetzt außer Betrieb genommen und werde es nicht mehr nutzen, sobald ich ein Ersatzgerät habe werde ich es mit dem dicken Fäustel zerstören.

In einem Nachgang schreibt der Nutzer noch, interessant ist jedenfalls die Modifikation der infektiösen Apps. Man reagiert offenbar darauf das es Listen mit den Apps gibt. Spätestens seit diesem Erfahrungen ist WhatsApp in meinen Augen zu einem unkalkulierbaren Risiko geworden.

SMS-Nachrichten nach Gerätewechsel

Zum Abschluss kann ich noch auf diesem Kommentar von Gert verweisen. Zitat aus dessen Kommentar:

mein Bekannter hat sein Gigaset in Rente geschickt die SimKarte in ein Xiaomi Mi A2 Lite eingelegt und eingerichtet (Whatsapp, Telegram usw.) und erhält seit dem Stündlich irgendwelche SMS mit Text und Links in verschiedenen sprachen Glückspiel, DHL und Amazon.

Und nun entscheidet ihr, ob die Telefonnummer der SIM-Karte, die im infizierten Gigaset-Handy verwendet wurde, guten Gewissens auf einem anderen Gerät verwendet werden kann. Sofern ihr einen Vertrag habt, der noch läuft, würde ich mich mit dem Support des Mobilfunkanbieters in Verbindung setzen und klären, ob ein Wechsel der Rufnummer samt SIM-Karte möglich ist.

Ähnliche Artikel:
Gigaset Android-Update-Server liefern vermutlich Malware aus
Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)
Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten
Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021)
Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware
Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)

Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1
Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 2
Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)
Gigaset-Malwarebefall und das WhatsApp/SIM-Problem
Neues zum Malwarebefall bei Gigaset Android-Smartphones


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit, WhatsApp abgelegt und mit Gigaset, Malware, Sicherheit, WhatsApp verschlagwortet. Setze ein Lesezeichen auf den Permalink.

49 Antworten zu Gigaset-Malwarebefall und das WhatsApp/SIM-Problem

  1. Lars S. sagt:

    Mit diesem Artikel kann es für mich nur eine Lösung geben: Neue Telefonnummer!

    Ich nutze Alditalk mit einem gebuchten Jahrespaket. Damit kann ich bis Jahreswechsel kostenlos telefonieren, SMS schreiben und habe bis zum Auslauf noch 93% meines Datenvolumes, welches ich verbrauchen könnte.
    Ich habe mich beim Support von Alditalk erkundigt ob man den Tarif auf eine andere Telefonnummer übernehmen könne.
    Antwort vom Anbieter:

    „Eine Übertragung von Guthaben oder Flatrats auf andere Rufnummern ist technisch nicht möglich. “

    Damit kann ich meinen jetzigen Tarif nicht mehr nutzen und muss mir eine neue Handynummer plus neuen Tarif zulegen. Na herzlichen Dank Gigaset!!! Eigentlich müsste man denen die Mehrkosten in Rechnung stellen!
    Ganz zu schweigen von meinen dauerhaft gesperrten Whatsappaccount. Die Tage viermaligen Emailverkehr mit dem Support von Whatsapp gehabt, ich bekomme lediglich Computergenerierte Antworten die nicht helfen um den Account zu entsperren.

    Bei Ihnen Herr Born möchte ich mich ganz herzlich bedanken! Ohne Ihren Blog wäre ich komplett anders mit dem Gigaset-Problem umgegangen. Durch Ihre Informationen habe ich umfassend sämtliche Daten gesichert, (Whatsapp, Fotos etc) und Kennwörter geändert, was möglicherweise ohne Ihren Blog mit viel Datenverlust geendet wäre. Vielen Dank!

  2. Lukas sagt:

    @Lars S. Ich würde tatsächlich mal sehr interessant finden, ob man in diesem Fall dem Hersteller entstandene Kosten in Rechnung stellen kann. Notfalls auch per Gerichtsverfahren….
    Durch die Kompromittierung des Update-Servers sind ja beispielsweise die Anschaffungskosten für ein neues Handy entstanden sowie einen neuen Handyvertrag und Handynummer. (Was ja durchaus angebracht ist).

  3. Anonymous sagt:

    Bei allem Verständnis für die Gefahr: Aber ist das mit der Rufnummer nicht etwas übertrieben? Klar wenn die zugespamt wird ist das Mist. Aber eine Gefahr stellt das doch nun nicht gleich dar. Ich bekomme auch laufend Emails mit irgendwelchem Zeug dran. Die wandern ungelesen in den Papierkorb.

    Genauso bekomme ich gelegent mal eine SMS mit einer angeblichen Paketverfolgung und auch WhatsApp habe ich schon mit Dateianhang von einer unbekannten Nummer bekommen.

    Aber das sind doch alles Sachen die man bisher schon hatte und die man mit gesundem Menschenverstand beherrschen kann.

    Oder übersehe ich da was gravierendes?

    Gibt es SMS die nur durch den Empfang schon als Schädling ins System eindringen können?
    Gibt es WhatsApp-Nachrichten die ebenfalls nur durch den Empfang bzw. durch das öffnen der Nachricht ohne den Anhang downzuloaden bereits einen Schädling installieren?

    • Günter Born sagt:

      Oder übersehe ich da was gravierendes? -> Ja.
      Ansonsten schrieb ich: Jeder entscheidet, wie er weiter vorgeht.

      Nur so viel: Senioren in meinem Umfeld oder halbwüchsigen Kids würde ich nicht „kann man mit Menschenverstand abbiegen“ zumuten – beim Rest der Klientel könnte ich schreiben „bin ich mir auch nicht so sicher“ – lasse das aber, weil mir das doppeldeutig ausgelegt werden könnte.

      • Ute sagt:

        Nachdem ich mit dem Gs160 ebenfalls betroffen war, habe ich mir eine neue (kostenlose) SIM-Karte mit der gleichen Nummer schicken lassen. Dazu ein anderes Handy benutzt.
        WhatsApp habe ich gesperrt gelassen.
        Ob ein Nummernwechsel sinnvoll ist, sehe ich hier noch nicht ganz, da auch eine neue Nummer vom Vorbesitzer evtl. schon auf einer Liste stehen könnte. Liege ich da falsch?

  4. 1ST1 sagt:

    Man kann natürlich spätestens mit Vertragswechsel die Nummer ändern (lassen), aber was ist mit der nächsten Person, welche diese Nummer irgendwann bekommt? Ich bekam auch schon mal (normale) Anrufe un Whatsapp-Nachrichten von Leuten, die unter der Nummer jemand anders erreichen wollten. Dieser Hack hat mehr oder weniger das ganze Mobilfunknetz kompromittiert. Irgendjemand hat da jetzt einen riesen Pool an Telefionnummern samst Mailadressen abgegriffen und richtet damit einen großen Schaden an.

    • Frauke sagt:

      Genau, das ist auch mein Gedanke, deshalb spiele ich jetzt mit meiner Nummer, die immer seriös war auf dem alten Smartphone von Gigaset herum, um den verbliebenen Schaden zu sehen. Ich habe bereits alles auf Werkzustand zurückgesetzt und das ist soweit in Ordnung. Ich habe schon einmal eine neue Nummer bekommen und dort bekam ich sogar nach zehn Jahren noch Anrufe für den Vorgänger. Eine neue Rufnummer muss nicht immer besser sein. Die Zukunft wird das bei mir zeigen welchen Nutzen ich noch von meiner alten Nummer habe und welches Risiko ich mit einer neuen Nummer eingehe! Ansonsten habe ich mir schon ein neues Smartphone gekauft. Wenn ich meine Nummer behalte werde ich lediglich eine neue SIM-Karte einlegen! Das Mobilfunknetz ist bereits kompromittiert und das habe ich auch in der Vergangenheit erlebt, wobei ich von vielen Nummern angerufen wurde, die nicht registriert waren. Da hatte ich mich sogar an die Bundesnetzagentur gewandt, die dagegen machtlos ist.

      • Knut sagt:

        „Das Mobilfunknetz ist bereits kompromittiert und das habe ich auch in der Vergangenheit erlebt, wobei ich von vielen Nummern angerufen wurde, die nicht registriert waren.“

        Da stecken in der Regel Roboterprogramme hinter, die mit gefälschten Caller IDs alle möglich existierenden Rufnummern durchprobieren und erst wenn eine Verbindung erfolgreich hergestellt wurde, also abgenommen wird, intern durchstellen. Das Mobilfunknetz ist dadurch nicht komprimitiert.

        Die einfachste Form von solchen Anrufen nicht mehr belästigt zu werden ist die Verwendung einer Rufnummernblocker App, in der die Annahme von unbekannten und unterdrückten Rufnummern abgewiesen wird. Oft haben bessere Smartphones so eine Funktion bereits integriert, muss nur aktiviert werden.

        Prinzipiell könnten da auch Mobilfunkbetreiber dem Treiben schon im Vorfeld einen Riegel vorschieben, da steht jedoch das Telekommunikationsgesetz entgegen, welches genauso wie bei SMS zur Durchstellung verpflichtet und datenschutzrechtlich nicht erlaubt ist, weil damit ein Zugriff auf die richtigen Rufnummerndaten erfolgen muss (ein Provider kennt immer die echte Rufnummer, damit eine Verbindung überhaupt aufgebaut werden kann), und bei SMS auch den Inhalt mit abgrasen, damit Spam rausgefiltert werden kann. Das geht nur per Gerichtsbeschluss, und das dauert eben (meist zu lang).

        Die Rufnummern der Bundesnetzagentur mitzuteilen bringt jedoch insofern so viel, als dass bei zahlreichen Beschwerden zur Rufnummer ein Rechnungslegungs- und Inkassorverbot erwirkt wird. Heisst, der Provider darf entstandene Kosten zum Beispiel bei Ping-Calls von sehr teuren Premiumdiensten oder Auandsnummern, die man versehentlich zurückgerufen hat, nicht mehr in Rechnung stellen und auch nicht mehr an die Anbieter dieser Dienste weiterleiten. Dadurch wird das Geschäft von Betrügern zumindest gestört, ist natürlich ein Katz und Maus Spiel.

        Von daher würde ich auch davon ausgehen, dass die entstandenen Kosten bei der von der Malware automatisiert gebuchten Premiumdienste am Ende nicht gazahlt werden müssen (ähnlich lief es auch als diverse Fritzboxen betroffen waren) und auch die Betrüger kein Geld erhalten werden. Dafür haben die zu viel Aufsehen erregt, dass das selbst das BSI schon auf dem Zettel hat und damit auch mit Sicherheit die Bundesnetzagentur noch auf den Tisch serviert bekommt.

  5. Sebastian sagt:

    Hallo,

    wir haben bei meiner Tante ein neues Handy gekauft und bei der bestehenden SIM einfach eine neue Nummer bestellt (leider 30€ Gebühren beim Anbieter „maxxim“) – seither is ruhe.
    Whatsapp etc. alles komplett neu begonnen.

    Hilft nix aber sie hat das Handy eh nicht stark genutzt und die paar Kontakte wurden halt über die neue Nummer informiert.

  6. Gerold sagt:

    Ein weiteres Problem aus dem Gigaset Blog, IP-Adressen auf Blacklists:

    Dirk Uhrig 13.04.2021
    Durch die Malware wird meine IP-Adresse inzwischen auf fünf verschiedenen Blacklists geführt. Manche Internetseiten sind für mich jetzt auch über den Home-PC gesperrt. Was kann ich tun?

    Raphael Doerr 13.04.2021 Antworten

    Hallo Herr Uhrig,
    dieses Thema ist uns nicht bekannt. Wir gehen dem Hinweis nach.
    Haben Sie Ihr Gerät denn bereits auf Werkseinstellungen zurückgesetzt und alles gelöscht?

    Mit freundlichen Grüßen, ^RD

    • Kukkatto sagt:

      Beim Internet-Ambieter vorstellig werden und andere IP verlangen. Kabelnetze verteilen oft quasistatische IPs, die zwar für mehrere Monate gelten, aber nicht fix vergeben werden, sondern auch mal wechseln. Bei meinem Anbieter reicht es, wenn ich das Kabelmodem für mehrere Stunden abschalte – dann kriegt es automatisch eine andere IP zugeteilt.

  7. Gerold sagt:

    Aus dem Gigaset Blog zu WhatsApp Sperre und Kosten der Betroffenen:

    Martina Grünhagen 13.04.2021
    Hallo, nach wie vor möchte ich gerne ihren Lösungsvorschlag für die WhatsApp Sperre haben, denn wieso soll ich mir eine neue SIM-Karte auf meine Kosten holen, wenn sie den Grund dafür liefern?

    Raphael Doerr 13.04.2021
    Hallo Frau Grünhagen,
    wir sind gerade noch dabei das WhatsApp Thema zu eruieren. Die Untersuchungen sind hier noch nicht abgeschlossen.

    In diesem Kontext möchte ich Ihnen ebenfalls folgendes mitteilen:
    Gigaset sieht sich in dieser Sache selbst als geschädigt. Die Verbreitung der Schadsoftware erfolgte durch Cyberkriminelle – über einen kompromittierten Server eines externen Update Service Providers – und nicht durch Gigaset.
    Deswegen haben wir bereits Anzeige gegen Unbekannt gestellt und hoffen, dass uns die zuständigen Behörden das Thema aufklären können. Wir sehen uns juristisch wie technisch nicht verantwortlich für den Vorfall, da wir unserer Sorgfaltspflicht stets nachgekommen sind. Gigaset hat betroffenen Endverbrauchern zeitnah eine Problemlösung geliefert. Sollte der Verursacher seitens der Behörden ermittelt werden, steht es Ihnen natürlich frei, mögliche Ansprüche gegen ihn geltend zu machen.

    Mit freundlichen Grüßen, ^RD

    • Volko sagt:

      „[…] Wir sehen uns juristisch wie technisch nicht verantwortlich für den Vorfall, da wir unserer Sorgfaltspflicht stets nachgekommen sind. […]“

      Ich habe dem Gigaset Kundenservice am Gründonnerstag, 01. April gegen 13 Uhr telefonisch das mutmaßliche Sicherheitsproblem gemeldet mit Hinweis auf den zu diesem Zeitpunkt bereits bestehenden Thread in den Google-Support-Foren! Fakt ist also, dass Gigaset bereits spätestens – vermutlich aber bereits zuvor durch andere Betroffene z.B. aus dem vorgenannten Google-Support-Foren-Thread – am Gründonnerstag Nachmittag, 01. April von einem mutmaßlichen Sicherheitsproblem Kenntnis gehabt hat und erst am 07. April den kompromittierten Update-Server stillgelegt hat. Ich würde in so einem Fall erwarten, dass man zur Schadensbegrenzung innerhalb kürzester Zeit vorsorglich ALLE Updateserver zunächst außer Betrieb nimmt und überprüft!

      Durch die Informationen aus einem Blog-Kommentar gerät meine These, dass in unserem Fall Schlimmeres durch den verwendeten DNS-Server verhindert wurde, leider ins Wanken. Anhand der in dem Kommentar verlinkten Analyse der Malware konnte ich die dort angegebenen C&C-Server mit dem Test auf der Webseite des DNS-Server Betreibers überprüfen, ob diese vom DNS-Server blockiert werden; leider mit negativem Ergebnis.
      Da die beiden betroffenen GS180 aber nach wie vor keinerlei Anzeichen einer (erneuten) Malware-Infektion zeigen und weder betreffend WhatsApp noch hinsichtlich der Messenger-App irgendwelche Auffälligkeiten aufgetreten sind, gehe ich weiterhin davon aus, dass die von mir durchgeführte manuelle Bereinigung hier erfolgreich war … fragt sich nur, warum?

      Betreffend die Messenger-App habe ich heute allerdings beim Vergleichen der jeweiligen Dateigrößen auf unseren vier GS180 auf einem der beiden von der Malware befallenen Geräte einen größeren Wert festgestellt. Nach Deaktivierung und dem damit verbundenen Zurücksetzen auf die werksseitige Version, sowie anschließender Aktivierung und Update via Google Play Store stimmt die Dateigröße jetzt mit der auf den drei anderen GS180 überein.

      • Kukkatto sagt:

        Der kompromittierte (resp. kompromittierende) Updateserver wurde erst gestern (14.04.2021) oder vorgestern (13.04.2021) abgestellt. Ich habe mein GS170 noch nicht auf Werkseinstellung zurückgesetzt, um noch einige Daten rauszukopieren. Erst seit gestern wurde das Gerät nicht mehr auf „do-not-disturb“-Modus gestellt und der WebBrowser entführt; noch vorgestern war das innert kurzer Zeit der Fall, sobald WLAN eingeschaltet war. Ebenso wurden seit gestern keine Apps mehr nachinstalliert (Tayase, BBQ Browser etc.). NB: bitte genauen Wortlaut beachten: Gigaset schrieb, daß sie am 7. April den Dienstleister angewiesen hätten, die Server abzustellen und dieser bestätigt habe, dies zu tun. Das ist etwas anderes als „zu bestätigen, daß der Server tatsächlich abgestellt worden sei“.

      • Kukkatto sagt:

        Zu früh gefreut – soeben wurde wieder auf „do-not-disturb“ gestellt und im Hintergrund wurde „Relax Music“ heruntergeladen … (wie erwähnt: Rücksetzung auf Werkseinstellung ist noch nicht soweit)

        • Knut sagt:

          Werden auch alle anderen Apps wieder installiert? Im Google Account angemeldet und Synchronisierung aktiviert? Dann mal auf Google Drive die Android Backups löschen und nochmal auf Werksreset. Eventuell spielt nur das Google Backup die von der Malware gemachten Geräte Einstellungen wieder her und installiert wieder die Apps, die von der Malware direkt aus dem Google Play Store installiert wurden, also die genannte „Relax Music“ App und „Ducky“ App etwa.

          • Kukkatto sagt:

            Reinstallation aus einem Google-Backup könnte sehr wohl eines der Probleme sein – kann bei mir aber nicht sein, da ich gar kein Google-Klaut-Backup eingerichtet habe. Seit Rücksetzung auf Werkseinstellung ist bei mir nun nix mehr los. NB: die SD-Karte habe ich zwar nicht gelöscht und formatiert, aber dafür gesorgt, daß dort drauf keine Android-Daten mehr in auf die Karte ausgelagerte Android-System-Verzeichnisse vorhanden sind (sondern höchstens noch Sachen in einem separaten Verzeichnis).

            Ach, was auch noch aufgefallen war: ich hatte das Gerät vor Rücksetzung nicht vom Google-Konto abgemeldet; nach dem ersten Neustart muß als erstes wieder bei Google angemeldet werden – sonst geht gar nix.

  8. Bolko sagt:

    Im GIGASET-Blog sagt der Support heute am 13.04.2021 auf die Frage

    „– kann ich die SIM Karte wieder einsetzen oder ist diese ebenfalls vom Angriff betroffen?“
    folgendes:

    [ZITAT]
    Bezüglich SIM-Karte warten wir noch auf die abschließende Analyse des IT Forensikers…
    Wir melden uns, sobald wir hier 100% Gewissheit haben.
    [ZUTAT ENDE]

  9. Bernard sagt:

    Was ist mit einem kompletten Reset des Gerätes? (Auslieferungszustand.)

    Geht das auch nicht?

  10. Anonymous sagt:

    Ich sehe nicht wirklich das Risiko die Nummer weiter zu verwenden. Aber klären sie mich bitte auf, wenn ich falsch liege. Es ist doch auch jetzt schon möglich jeder beliebigen Nummer eine Schad-SMS zu schicken, die Nummernkreise sind ja bekannt. Man muss einfach auch beachten, dass ein Nummernwechsel für viele ein erheblicher Aufwand bedeutet, von daher würde mich das tatsächliche Risiko, dass über eine Phishing-SMS hinasugeht, interessieren.

    • Kukkatto sagt:

      Es kommt etwas darauf an, wofür die Nummer bisher eingesetzt worden war, welche Apps oder Dienste genutzt wurden. Bei einer WA-Sperre könnte sie für FB „verbrannt“ sein und auf weiteren Sperrlisten auftauchen, was deren Nutzung dann mehr und mehr mühsam machen würde. Ohne Nutzung solcher Apps sollte nicht viel passiert sein.

      Zu berücksichtigen ist jedoch auch der anderweitig laufende Angriff auf FB, bei der eine sehr großɛ Anzahl Nummern mißbraucht werden. Eine andere Nummer von mir war da betroffen: daran zu merken, daß ich eine SMS mit einem FB-Anmelde-Freischaltcode erhalten hatte … da hatte es offenbar sonstwer mit meiner Nummer versucht – und ich habe einen Verdacht, worüber die geleakt worden war – einer meiner Kontakte war betroffen. Das hat aber nichts mit diesem Gigaset-Fall zu tun (auf dem Gigaset-Gerät war dies nicht mal als Kontakt drauf), sondern dem FB-Leak.

  11. Kukkatto sagt:

    Naja – ganz stillegen muß man die nicht … nach Werksrücksetzung lassen die sich noch problemlos als Navi, zum Video-schauen, Musik-hören oder spielen einsetzen – ohne SIM-Karte, ohne WLAN, ohne Google-Store etc. – und aufspielen der Progs nur per .apk … :)

  12. Ben sagt:

    Lars, Sie können doch einfach woanders eine Prepaid Karte bestellen und dann die Rufnummer zu Aldi Talk portieren. Das sollte eigentlich möglich sein. :)

  13. Mark Herzog sagt:

    Ich habe seit einer Woche ein neues Gerät. Ich gehe davon aus, dass der Hack bei Siemens den Gangstern Zugriff auf die Daten gegeben hat, die sonst über den QR-Code bei Akkreditierung von Whatsapp-Web ausgetauscht werden. Ich kann feststellen, dass ich jetzt Whatsapp wieder Problemlos nutzen kann. Ich vermute, dass der Mißbrauch des WhatsApp Konto’s auch an z.B. die IMEI des Gerätes gekoppelt ist und deshalb nach Gerätewechsel nix mehr passiert.

    Thema SMS:

    Dass die Hacker die Telefonnummern die sie erbeutet haben dazu nutzen, SPAM SMS zu versenden ist nicht verwunderlich. Diese muss man ignorieren und ggf. die Absendernummer sperren.

    Problematischer war bei mir auf dem GigaSet 270, dass auch SMS für Optionsauftragsbuchungen in meinem Namen versendet wurden. Hier hat mir geholfen – und ich rate jedem zur Nachahmung – dass die die Funkton, Drittanbieter über die Telefonrechnung zu bezahlen, Abgeschaltet habe (bei meinem Telefondienstanbieter). ACHTUNG: Wenn das Virus Optionsauftragsbuchungen per SMS versendet, werden die ausgegangenen Nachrichten SOFORT gelöscht. Man bekommt das erst mit, wenn die fette Telefonrechnung auf dem Tisch liegt.

    Fazit: Gerätewechsel reicht, auf Backup Rückspielung würde ich verzichten.

    • Gerold sagt:

      „Ich gehe davon aus, dass der Hack bei Siemens den Gangstern Zugriff auf die Daten gegeben hat, die sonst über den QR-Code bei Akkreditierung von Whatsapp-Web ausgetauscht werden. Ich kann feststellen, dass ich jetzt Whatsapp wieder Problemlos nutzen kann.“.

      Mitte letztes Jahr gab es Berichte dass der BND eine Möglichkeit gefunden hat die WhatsApp Kommunikation von Zielpersonen unbemerkt mitzulesen, vermutlich über WhatsApp Desktop oder Web, das heisst sie brauchten den QR-Code zur Autorisierung. Man kann davon ausgehen dass unterdessen weitere an WhatsApp-Kommunikation Interessierte auch wissen wie das geht.

      • Knut sagt:

        WhatsApp warnt nicht umsonst:

        „Vergiss nicht, WhatsApp Web zu schließen, wenn du fertig bist, vor allem wenn du auf einem öffentlichen oder einem Computer bist, den du mit anderen teilst, ansonsten könnten andere deine Chats lesen.“

        Wird schon seinen Grund haben, warum die Malware in einem für den Nutzer nicht sichbaren Pixel eine WebView Session laufen lässt. Dann noch sowas wie einen ScriptRunner laufen lassen…

        Ist ja an sich auch nichts neues, Microsoft hat mit Power Automate für sowas auch bereits legale Anwendungszenarion:

        https://www.winautomation.com/

        Mich wundert eigentlich in dem Zusammenhang, dass uns Malware mit sowas nicht schon länger „beglückt“. Irgendjemand aus der Unterwelt hat sich offenbar mal die Zeit genommen, um Tracking mit Robot Automation zu kombinieren, um daraus einen neuen „next big thing“ Malware-as-a-Service Labor-Baukasten zu basteln.

        Gibt ja auch seit Jahren bereits shady Click and Play „Web-Services“ , die wie administrative MDM Web Oberflächen aussehen, bei denen man Kapazitäten anmieten kann. Da steht dann natürlich nicht explizit, wofür man es alles verwenden kann. Aber die enthaltenen Module und Werkzeuge sprechen dann doch eine recht eindeutige Sprache der Intention.

        Wenn es nicht sowas wie den „Staatstrojaner“ geben würde, müsste man ihn auch nicht erst noch erfinden. Da tummelt sich auch so schon ein aktiver „Markt“ mit vielen Teilnehmern. Die diversen SMS-Spamwellen der letzten Wochen allein sind Zeugnis davon. Man braucht nur einen guten Kontaktdatensatz als Einstiegspunkt, den nicht nur Facebook als Auslaufmodell bereits geliefert hat…

  14. Sebastian Noll sagt:

    Hab auch ein GS170 mit selber Problematik. Hard Reset hat ebenfalls nicht gebracht.
    Gigaset Hotline blockt ab mit der Aussage „Malwarebytes ist zu sensibel eingestellt. (Kundendienst hab ich bereits gesagt, dass die update.apk immer noch drauf ist)
    Nach einiger Zeit habe ich wenigstens wieder WhatsApp zum Laufen gebracht.
    Bin am Überlegen, ob ich des Handy meiner Kundin wieder gebe.
    Support habe ich bereits per Mail geschrieben, mal schauen, was die schreiben.
    Was ich mir überlege: Lohnt sich eine Beschwerde an die Landesdatenschutzbehörde bzw. an die Bundesnetzagentur zu schicken?

    • Knut sagt:

      Wenn es darum geht sich über den Hersteller zu beschweren nützt es relativ wenig, da dieser auch nur Opfer des Betrugs ist.

      Eigentlich müsste hier der Gesetzgeber bei den Rahmenbedingungen nachschärfen, unter welchen sicherheitskonzeptionellen Voraussetzungen ein Smartphone überhaupt verkauft werden darf. Das es nicht nur verpflichtend Sicherheitsupdates gibt, sondern diese auch mit eigener Infrastruktur bedient werden müssen oder die man zumindest selbst unter Kontrolle hat und im greifbaren Einflussbereich unserer datenschutzrechtlichen Bestimmungen agiert.

      Gibt es jedoch derzeit nicht. Es ist immer noch völlig legal bei uns ein Smartphone zu verkaufen, welches kein einziges Update erhalten wird oder irgendwelche technisch wirksamen Schutzmechanismen enthält, was sowas wie hier passiert ist, verhindern könnte. Die elektronische Bucht ist voll von so einem ‚Kernschrott‘ zum Abverkauf.

      Als Otto-Normalverbraucher würde ich mich an der Auswahl immer daran orientieren, was die großen Provider gerade an Smartphones im Programm haben. Und die bieten keine GS Smartphones an derzeit.

      Ausserdem arbeiten diese in der Regel mit den Herstellern zusammen, haben zwar einerseits dafür oft für den Provider zugeschnittene Firmware-Updates (was seine Vor- und Nachteile hat) die auch gerne mal einen Monat später auf die Smartphones verteilt werden, sind andererseits jedoch auch vom Provider nochmal vorgetestet und damit doppelt gecheckt (vier Augen Prinzip) , ob auch wirklich geliefert wird, was vereinbart ist, denn die haben auch ein monetäres Interesse daran, dass die Kunden nicht nach der Gewährleistungsgarantie (was auch meist die Mindestvertragslaufzeit von Mobilfunkverträgen entspricht) wegen schlechter Nutzererfahrung den Anbieter wechseln und kein regelmäßiges Einkommen mehr erzielen. Bei den Herstellern zumindest günstiger Smartphones sieht die Sache wieder anders aus. Die kriegen einmal Geld für das Produkt und wollen dann möglichst nichts mehr damit zu tun haben, weil das alles nur unnötig laufende Kosten verursacht, für die.

      • Olli sagt:

        >>> Wenn es darum geht sich über den Hersteller zu beschweren nützt es relativ wenig, da dieser auch nur Opfer des Betrugs ist.

        Na Moment mal. Spielt doch keine Rolle, ob der Update Server selbst betrieben wird oder durch einen Dienstleister. Der Dienstleister arbeitet auch nur „im Auftrag“. Damit ist der Auftraggeber – also Gigaset – auch dafür verantwortlich was der Dienstleister tut.

        Und eine Sache die ganz klar Gigaset anzulasten ist, ist der Zeitrahmen. Feiertage hin oder her – als Hersteller eines IT-Produktes ist es grob fahrlässig keine 24/7 erreichbare Notfall Teams zu haben mit den nötigen Kompetenzen und(!) technischen Möglichkeiten sofort zu handeln. Außerdem gehört dazu natürlich der nötigen Workflow, dass Hinweise – egal auf welchem Wege die wo aufschlagen – auch direkt dem Notfall-Team weitergeleitet werden.

        Vorfall bekannt ab 01.04.
        Reaktion ab 07.04.

        Hier hat Gigaset alles falsch gemacht was man falsch machen kann – das ist grob fahrlässig!

  15. Peter Wittmann sagt:

    Ich habe bei unserem GS370 das Rückstellen auf Werkseinstellungen und danach alle Updates durchgeführt (jetzt Android 8.1.0 und Build GS370_S129 mit Stand der Sicherheitsupdates 5.12.2020).
    Jetzt finde ich bei den Apps eine „Basic Daydreams“ mit 115 kB Größe.
    Gehört die standardmäßig zum Android-Betriebssystem des GS 370 ?

    • Knut sagt:

      Ja die „Basic Daydreams“ App gehört zu Android und erlaubt die Einstellung in einen Modus zu wechseln, indem der Bildschirm des Geräts eingeschaltet bleibt, um etwa die Zeit, das Wetter, Fotos, Nachrichten, Tweets usw. anzuzeigen, wenn sich das Gerät im Lademodus befindet:

      https://www.rosenblut.org/2016/03/17/android-daydream-das-unterschaetzte-feature/

      Standardmäßig ist diese Funktion nicht aktiviert und man kann die App ansonsten auch gefahrlos deinstallieren., wenn man auch nicht vor hat, diese Funkion zu nutzen.

  16. Philipp Streng sagt:

    Hallo

    ich habe ja selber ein Gigaset und war zum Glück verschont geblieben. Während der heißen Phase habe ich auch täglich hier nachgelesen ob es News gibt. Danke dafür nochmal.

    Jetzt fällt mir aber schon auf, dass auf Gigaset sehr stark und hart „hingehauen“ wird.
    Herr Born:
    Welchen Bezug haben Sie persönlich zu Gigaset/ex Siemens ? Warum ich das frage?
    Naja weil es ähnliche und weitschlimmere Malware Infektionen auf Grund schlampiger Arbeit bei Hersteller bzw. deren Lieferantenauswahl passieren.
    Im Moment zB Huawei.
    Davon liest man kein Wort bei ihren News…Das finde ich dann aber eher einseitig und führt zu obiger Frage an Sie:
    Welchen prsönlichen Bezug haben Sie zu Gigaset, als das es bei ihnen dermaßen viel Raum und Kritik findet?

    Danke
    MfG

    • Bolko sagt:

      Huawei stand auch hier im Blog:
      h**ps://www.borncity.com/blog/2021/04/11/huawei-smartphone-apps-mit-joker-malware-verseucht/

      Gigaset hat nunmal in mehrfacher Hinsicht Mist gebaut, weswegen auch mehrere Blogbeiträge nötig waren, um das aufzuarbeiten.

    • Günter Born sagt:

      Knappe Antwort: Es gibt schlicht keinen Bezug zu Siemens oder Gigaset, außer dass ich hier zwei Testgeräte habe, beide nicht befallen.

      Ansonsten verstehe ich die Frage nicht, es wurde hier aufgearbeitet, was der Hersteller versaubeutelt hat! Für Betroffene war das echt bescheiden …

      Und als Blogger sehe ich es nicht als meine Aufgabe an, alle News zu diesem Thema hier aufzugreifen – aber die meisten Supply-Chain-Angriffe habe ich schon thematisiert. Sehe mich daher auch nicht in der Position, mich rechtfertigen zu müssen!

    • Volko sagt:

      Die Frage und die damit verbundene Kritik wird meines Erachtens der tagelangen Arbeit die Herr Born und viele Kommentatoren hier im Forum mit der Aufarbeitung dieses schwerwiegenden Sicherheitsvorfalls und dem Versuch der Schadensbegrenzung verbracht haben in keiner Weise gerecht!

      Ich hatte Herrn Born am Karfreitag über den zu diesem Zeitpunkt andauernden Malware-Befall informiert, als es außer dem Thread im Google-Support-Forum dazu noch keine Informationen gab! Erst durch den ersten Blog-Artikel hier kam das wahre Ausmaß des Sicherheitsvorfalls nach und nach zum Vorschein und weniger technikaffine Smartphone Besitzer hatten damit überhaupt erst die Möglichkeit zu verstehen, was mit ihren Gigaset Smartphones passiert war.

      Gleichzeitig wurde meiner Meinung nach auch deutlich, dass hinsichtlich der Notfallprozesse bei Gigaset, aber auch beim BSI noch deutlich Raum für Verbesserungen vorhanden ist … um es vorsichtig auszudrücken!

      Letztlich hätte es natürlich auch andere Hersteller treffen können, was ja auch immer wieder vorkommt. Nur ist den Cyberkriminellen in diesem Fall das „Husarenstück“ gelungen, den Systemupdateprozess zu kompromittieren, was eben gnadenlos die Schwächen und Probleme von Outsourcing und fehlenden Kontrollmöglichkeiten (für technikbegeisterte) Anwender aufzeigt.

      Das hat mit der Firma Gigaset nur insofern zu tun, dass diese in diesem Fall eben von dem Angriff betroffen war … und die Qualität der Attacke und der Umgang seitens Gigaset und des BSI damit hat genau den Raum und die Kritik benötigt, die dem Vorfall hier im Blog von Herrn Born und den vielen Kommentatoren eingeräumt wurde.

      Von daher finde ich Deine Frage ehrlicherweise etwas unangebracht, sowohl Herrn Born als auch allen Kommentatoren hier im Blog gegenüber, welche viele Stunden ihrer Zeit investiert haben, um ohne Herstellerunterstützung die Ursache zu ergründen, den Schaden so gut es ging zu begrenzen und Möglichkeiten zur Bereinigung der Geräte zu finden.

      • Markus sagt:

        „um ohne Herstellerunterstützung die Ursache zu ergründen“
        Oh, in meinem Neubau kommt Wasser rein, was soll ich machen ?
        Da sollte man doch eigendlich auf den Bauherr verweisen ????
        Aber hier finden sich „Experten“, die nicht mal wissen, welche Packages herstellermäßig (oder von Google) nötig sind.

        Ist der Updater von Samsung auch gefährlich, weil er etwas nachläd ??? Oder Windows. Oh, da wird ja Geld bezahlt, not noticify.

        Da wird der Support niedergemacht, vielleicht ist dort wegen Corona ja Kurzarbeit oder es sind Mitarbeiter im HomeOffice.

        Warum läuft hier doppelt soviel Werbung, und Herr Born meint, noch Werbung für diesen Artikel alle 2 Tage über Twitter machen zu müssen ? Sind ja auch nur +5 Euro für Aufruf.

        • Günter Born sagt:

          Auf Twitter scheint nur was, wenn es einen neuen Beitrag gibt. Dein letzter Absatz (und auch die vorherigen Vergleiche) ist daher – sorry für die direkte Art – ziemlich Müll – mehr schreibe ich da nicht zu.

        • Tanja sagt:

          Hier geht es nicht um irgendwelche banalen Anliegen an den Support (Warum kommt meine Lieferung später? etc.), sondern ein gravierendes Sicherheitsproblem (mit durchaus erheblichen Konsequenzen / Schäden für die User), worauf nicht nur viel zu langsam, sondern auch insgesamt mangelhaft reagiert wurde (etwa nicht funktionierende Anleitungen zur Schadsoftwarebeseitigung.)

          Bei solchen Problemfällen ist auch Kurzarbeit oder Corona (nach einem Jahr) keine Ausrede / Begründung mehr. Wenn die kritischen Prozesse deswegen noch immer nicht laufen, dann spricht das nicht wirklich für den Hersteller.

          Bei ständig neu aufgedeckten Probleme und Erkenntnissen, die primär von Dritten und nicht vom Hersteller kommt, da ist es dringend notwendig möglichst viele Leute (und damit auch Betroffene) zu erreichen.

          Oder, es um mit deinem Beispiel zu sagen: Du hast einen Wasserschaden, der Bauherr ist etliche Tage nicht zu erreichen, dann kommt die Rückmeldung „Wasser ist abgestellt“, aber ist es nicht und danach bekommst du eine Pumpe, die aber defekt ist…

        • Volko sagt:

          Genau, in Deinen Neubau drückt bei jedem Betätigen der Toilettenspülung das Abwasser in den Keller, weil irgendwo ein Rohr verstopft ist … dummerweise ist gerade Wochenende und das für den Bau verantwortliche Unternehmen hat leider keinen Notdienst und zudem die Arbeiten von einem Subunternehmer durchführen lassen.
          Und leider hat Dir das Bauunternehmen die Lagepläne der Abwasserleitungen nicht zur Verfügung gestellt.
          Quizfrage: Was machen Du und die Nachbarn, die Dir kostenlos helfen wollen jetzt? Sind das dann auch alles Experten, die nicht mal wissen wo die Abwasserleitungen verlaufen?

  17. Cord sagt:

    Ich habe ein 370 Plus.

    Ich habe auf Werkseinstellung zurückgesetzt, weiss aber nicht, ob damit alles behoben wurde.

    Gigaset hat mir angeboten, kostenlos das Mobiltelefon zu überprüfen.

    Sie senden mir einen kostenlosen Paketaufkleber für Paketdienst GLS zu.

  18. Robert sagt:

    Gehören boot-Probleme auch zu den Symptomen dieser malware?
    Mein befallenes GS160 startete heute nicht mehr. Erst nach Entnahme und Wiedereinsetzen des Akku (dann sofort 96%) liess sich das GS160 sofort starten.
    Dieses Verhalten ist zumindest ungewöhnlich.

  19. Hausmann sagt:

    Hallo!

    Nochmal vielen Dank an alle, die hier Beiträge zum Gigaset-Problem geliefert haben. Und mir damit sehr geholfen haben.
    Schadensersatzforderungen an Gigaset sehe ich als sehr aufwendig und schwierig an.
    Frage wäre inwieweit Versicherungen, der Verbraucherschutz oder wer auch immer da helfen könnten.

    Ich jedenfalls habe 2 neue Geräte von anderen Herstellern gekauft und bekomme auch neue SIM-Karten und Nummern.

    Die bisherigen Beiträge habe ich so verstanden, dass man die Kontaktdaten durchaus übernehmen kann, aber alle gespeicherten Nummern sehr genau prüfen muss, falls es dort Veränderungen insbesondere von Vorwahlnummern gegeben hat.

    Die Daten von den SD-Karten der alten Geräten werde ich nicht wieder in die neuen Handys laden, sondern nur über den PC mit Virusprüfung bearbeiten bzw. speichern. Ich habe einige Beiträge so verstanden, dass die Schadsoftware speziell auf Android-Handys ausgerichtet war und für ein Windowsbetriebssystem keine Gefahr besteht, falls Daten auf der alten SD-Karte infiziert seien sollten.

    ich hoffe ich habe da jetzt nichts falsch verstanden und wäre für eventuelle weitere Warnungen und Hinweise dankbar.

  20. Dieter sagt:

    Vorbei ist es noch nicht. Ein gut gepflegter Honigtopf (ein echtes befallenes Gigaset) bringt es jetzt an den Tag. Im Hintergrund läuft noch eine andere Funktion ab. Die gekaperten Geräte dienen als Brücke in die Außenwelt. Glück hat, wer die Verbindungsdetails wegen der Kosten einsehen kann. Das geht bei mir nur für Anrufe in das Ausland. SMS mit Pins werden 5-10 Minuten verzögert. Mit der Pin vom Impfzentrum dauerte es besonders lange. Konnten wohl damit nichts anfangen. Es wurde ein Überhang von bis zu 10 Apps installiert. Zum BBQ Browser wären noch zu ergänzen: BasketballShot, Parallel Multi Accounts-Multiple Space, Hang Climb Adventure-Grand Mountain, Pocket Book Reader-Free EBook Reading, Spinner.io-Fidget Spinner Master, Knote, Rhytm Master, Multi Space Pro-Multiple Parallel & Due, Demolition Crew, Tap Dungeon Hero:Idle Infinity RPG Game, Color, Hoppy Stacky, Jappy Jumping, Relax Music, Idle Dpace Miner – Idle Cash Mine Simulation, Ducky, Happy Stack. Über diese Kette waren, bzw. sind jeweils die Teile der Malware verstreut worden. Die Gruppe scheint also 6 Wochen gewartet zu haben für dieses Ziel.

  21. Claudio sagt:

    hi! I have been infected too: my phone is a Brondi one so I believe not directly connected to Gigaset.
    I found the AppSettings app (Version 2.97) installed. removed several times but it always comes back! sometimes I can find even two of them installed at the same time!
    and my Whatsapp account has been banned forever…

    any hint on how to clean my phone???

Schreibe einen Kommentar zu Bernd Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.