Neues zum Malwarebefall bei Gigaset Android-Smartphones

Wie steht es eigentlich um das Thema Malware-Befall durch eine Supply-Chain-Attacke bei den Gigaset Android-Smartphones, die uns vor Ostern ereilte? Blog-Leser haben mir ihre Erfahrungen in Mails geschildert und auch über Geräte berichtet, die als repariert und gesäubert zurückkamen. Und es gibt einen Leser, der sich einen eigenen Firmware-Build erstellt hat, um ein nicht mehr startendes Gigaset zu reparieren. Ich fasse mal einige Informationen zusammen.


Anzeige

Vor Ostern 2021 ereignete sich ein Lieferkettenangriff (Supply-Chain-Attacke) auf die Update-Server, die der deutsche Smartphone-Hersteller Gigaset für seine Android-Smartphones benutzte. Durch den kompromittierten Server in China wurden automatisch Android-Apps mit Malware auf den Gigaset-Geräten installiert. Diese nahm dann Werbeumleitungen vor, wählte teure Premium-Nummern an, buchte kostenpflichtige Optionen und was weiß ich. Zahlreiche Nutzer berichteten auch, dass ihnen WhatsApp gesperrt wurde. Ich hatte ausführlich im Blog in verschiedenen Artikeln berichtet (siehe Links am Artikelende).

Säuberung der Geräte klappt nicht

Der Hersteller Gigaset hatte ja den Versuch unternommen, die befallenen Geräte über Updates von der Malware zu säubern (siehe Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)). Ich hatte die Stillegung der Geräte empfohlen (siehe Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten).

Bereits kurz nachdem Gigaset mit der Auslieferung der Updates zum Bereinigen der infizierten Geräte begann, kristallisierten sich Probleme mit diesem Ansatz heraus. Ich hatte das im Blog-Beitrag Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021) angesprochen. In den Kommentaren zu den Blog-Beiträgen (siehe Artikelende und hier) meldeten sich Nutzer und Nutzerinnen, deren Geräte weiterhin von Malware betroffen waren. Die Rückmeldungen von Blog-Leser Dieter D zum 9. April 2021 per Mail lauteten:

Sehr geehrter Herr Born,

nach dem was ich auf meinem Gigaset 170 sehe, ist das noch nicht vorbei.
Nach der Anleitung sollte das Gerät die Nach über durchlaufen. Trotzdem gab es wieder in der Früh eine Malware, die nachgeladen wurde: com.yhn4621.ujm0317.

Es stürzen weiterhin laufend Anwendungen ab. Als Ursache konnte ich in den Einstellungen herausfinden, das von de 2GB RAM das Android- Betriebssystem bereits 1,7GB plus Android-System 126MB belegt. Also ist die Malware noch am Arbeiten. Es ist noch seit dem 31.03.21 die Anwendung YGPS auf dem Smartphone. Deinstallieren ging bisher noch nicht.

Vorgestern fiel mit noch auf, das der Speicher auf der Partition mit ca. 50MB/h abnahm. Nachdem der Verbrauch von 6.3GB auf 8.1 gestiegen war, war das aber nach dem Neustart weg gewesen.

[…]

Und zum 20. Mai 2021 ergänzte er in einer weiteren Mail:

Sehr geehrter Herr Born,

betreffend des Gigaset-Hacks, schloss die Beseitigung einer neuen Malware der Virenscannerhersteller nicht das Problem ab.
(HEUR:Trojan-Downloader.AndroidOS.Malota.b, /system/app/Rsota/oat/arm64/Rsota.odex)

Mittlerweile zeigt sich nun was sich hinter dem Hack vermutlich eigentlich versteckte. Die Zahl der Apps nahm ohne etwas zu tun ab und stieg danach wieder (von 78 auf 89 und wieder auf 78). Einmal poppte eine Meldung auf, das eine infizierte Anwendung nicht deinstalliert werden konnte, wurde aber danach nicht mehr angezeigt. Die verschiedenen Apps, die die Malware installierte, könnte nur Ablenkung gewesen sein.

Das Gerät scheint nun als Brücke für Anrufe aus dem Internet an Mobiltelefone nach Marokko zu dienen, bei welchen die nicht gesäubert werden konnten. Diese Vorfälle waren am 17. und 18. Mai. Heute nicht mehr, weil vorher das Prepaid-Guthaben zu Ende war. Die Log-Files und Inhalte über die ADB werde ich bei Rückmeldung des Virenscannerhersteller wieder hochladen.

Das Ganze sieht nicht so wirklich gut aus. Wie sind da eure Erfahrungen?

Erfahrungen mit einem "gesäuberten" Geräte

Der Hersteller Gigaset bot betroffenen Gerätebesitzern ja an, dass man seine Smartphones per RMA-Schein zur Reparatur einsenden könne. Ich wurde durch Thomas S. Mitte Mai 2021 per Mail kontaktiert, der mir folgendes schrieb:

vielleicht ein Update eines Artikels oder einen neuen Artikel wert?

Ich habe heute mein GS 170 das ich eingeschickt hatte zurückerhalten. Angeblich wurde ein Softwareupdate installiert. Die Software ist die S112. Diese war auch schon drauf als ich das Gerät abgeschickt habe.

Auch auf dem von Gigaset "gesäuberten" Gerät wird von Malwarebytes weiterhin der Update-Prozess (Version 6.2.3) als Trojaner "PUP.Riskware.Autoins.Redstone.P" gefunden.

Ich reklamiere nun im Ticket nochmals bei Gigaset.

Gibt es bei anderen Gerätebesitzern ähnliche Erfahrungen, dass die gesäuberten Geräte weiterhin mit "PUP.Riskware.Autoins.Redstone.P" ausgeliefert oder mit Malware befallen waren?

Nutzerlösung: Recovery für GS160

Eine Besitzer von Gigaset Smartphones beklagten sich, dass die Geräte nach bestimmten Operationen nicht mehr booten konnten. Ein Recovery steht von Gigaset ja nicht zur Verfügung. Blog-Leser M.R. hat mich Mitte Mai 2021 per Mail kontaktiert und schrieb:


Anzeige

Guten Abend Herr Born,

erst einmal vielen Dank für die hilfreichen Informationen, die Sie zum Gigaset-Thema bereitgestellt haben. Im Fall des Malware-Befalls von Gigaset-Handys berichteten Nutzer, dass sie ihre Handys nicht mehr booten konnten. Dazu habe ich Informationen, […]

Ich hatte das selbe Problem mit einem GS160 in der Verwandtschaft. Kurz zusammengefasst: Nach unzähligen Stunden Recherche und vielen erfolglosen Versuchen mit Backups, Portierungen und unvollständigen Anleitungen konnte ich endlich ein maßgeschneidertes TWRP-recovery für das GS160 aus den source-Dateien von github (https://github.com/minimal-manifest-twrp/platform_manifest_twrp_omni , inkl. device-tree) auf einem Ubuntu-VPS erstellen.

Mit diesem Image konnte ich per adb die Nutzerdaten (Dateien, Fotos, WhatsApp) vom GS160 auf den PC übertragen. Dieses Recovery-Image (TWRP 3.5.2_9-0 für GS160) könnte ich Ihnen bereitstellen inkl. der für das SP Flash Tool benötigten Scatter-Datei, die ich verwendet habe.

Aber die Handhabung und das Flashen von Images kann natürlich nicht jeder Nutzer durchführen und erfolgt immer auf eigene Gefahr.  Ich kann natürlich keine Garantie übernehmen oder Empfehlung geben und auch keinen persönlichen Support für Nutzer anbieten,  da diese ganze Aktion schon viel zu viel meiner Zeit gefressen hat (ca. 4 Wochen nach Feierabend und am Wochenende).

Der Blog-Leser (der in keiner Verbindung zu Gigaset steht, sondern als Ingenieur in der Industrie arbeitet) meinte, dass die Lösung aber möglicherweise für einige interessierte erfahrene "Tüftler" eine große Hilfe und Erleichterung sein könnte. Er bot mir an, dass er die Dateien bei Interesse bereitstellen würde. Inzwischen hat er mir diesen Link bei file-upload.net übermittelt. Dort gibt es auch eine Kurzanleitung (PDF-Download) und das Recovery-Image. Die Verwendung des ZIP-Archivs erfolgt aber auf eigenes Risiko – Support kann keiner gewährt werden.

Ähnliche Artikel:
Gigaset Android-Update-Server liefern vermutlich Malware aus
Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)
Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten
Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021)
Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware
Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)

Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1
Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 2
Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)
Gigaset-Malwarebefall und das WhatsApp/SIM-Problem


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Android, Sicherheit, SmartPhone abgelegt und mit Android, Malware, Sicherheit, SmartPhone verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Neues zum Malwarebefall bei Gigaset Android-Smartphones

  1. Gert sagt:

    Das mit dem GS 170 welches angeblich gesäubert wurde kann ich bestätigen, selber Software stand wie vorher und Malwarebytes findet wieder verdächtige Daten.

    Aber wie schon in einem früheren Beitrag geschrieben haben wir uns von allen Gigaset Geräten getrennt 180 Geräte (auch welche nicht betroffen waren) und sind zu einem anderen Hersteller gewechselt.

    Mit dem Informations- und Service Gehabe hat Gigaset jegliches vertrauen verspielt

  2. Ärgere das Böse! sagt:

    Der Google-Play-Store dürfte nicht besser sein.
    Wenn eine von dort runtergeladene Jogging-App nur funktioniert, wenn sie Zugriff aufs Google-Konto, die Kontakte und das Telefon erhält, braucht es keine Paraonia mehr, um zu wissen, dass der Laden faul ist.
    Nicht nur der Google-Play-Laden ist faul. Das Problem ist Android.

    • Steter Tropfen sagt:

      Das Problem ist der Irrglaube, dass das App-Angebot ein großes Wohltätigkeits-Buffet sei. Wer sich die Mühe macht, etwas zu programmieren und zu vermarkten, will damit zu Geld kommen, direkt oder eben indirekt. Faul sind die vielen Anwender, die sämtliche Zugriffsberechtigungen abnicken – denkfaul nämlich.

  3. Hery sagt:

    Moin,
    ich habe Gigaset mehrfach aufgefordert mir ein "neues"GS 170 zu schicken.
    (Das alte hätte ich erst dann zurück gesandt).
    Bekam natürlich nur das übliche ge…. von wegen einschicken Garantie etc.
    Habe geahnt das alles nichts bringt.
    Teil liegt jetzt im Keller,für die Erben als Warnung von Gigaset die Hände zu lassen.
    hery

  4. Georg S. sagt:

    /e/-GS290
    https://esolutions.shop/shop/e-os-gs290/

    Vielleicht könnte man mit dem Betriebssysten /e/OS die gebrickten GS290 wieder zum Leben erwecken.
    https://e.foundation/de/e-os/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.