Nachtrag zum Malwarebefall bei Gigaset Android-Smartphones

Sicherheit (Pexels, allgemeine Nutzung)Wie steht es eigentlich um das Thema Malware-Befall durch eine Supply-Chain-Attacke bei den Gigaset Android-Smartphones, die uns vor Ostern ereilte? Ein Blog-Leser hat mir im Nachgang zum Lieferkettenangriff auf Gigaset Android-Smartphones noch einige Informationen zukommen lassen. Die Säuberung klappte nicht wirklich, und der Leser hat einen „Honeypot“ betrieben, um zu sehen, ob und welche Malware nachgeladen wird. Ich stelle seine Beobachtungen hier im Blog ein – vielleicht kann ein  Betroffener noch was damit anfangen.


Anzeige

Lieferkettenangriff auf Gigaset-Smartphones

Vor Ostern 2021 ereignete sich ein Lieferkettenangriff (Supply-Chain-Attacke) auf die Update-Server, die der deutsche Smartphone-Hersteller Gigaset für seine Android-Smartphones benutzte. Durch den kompromittierten Server in China wurden automatisch Android-Apps mit Malware auf den Gigaset-Geräten installiert. Diese nahm dann Werbeumleitungen vor, wählte teure Premium-Nummern an, buchte kostenpflichtige Optionen und was weiß ich. Zahlreiche Nutzer berichteten auch, dass ihnen WhatsApp gesperrt wurde. Ich hatte ausführlich im Blog in verschiedenen Artikeln berichtet (siehe Links am Artikelende).

Der Hersteller Gigaset veröffentlichte Anleitungen, um die Geräte zu säubern und stellte auch Updates für diesen Zweck bereit. Aber die Säuberung der Geräte klappt nach meinen Beobachtungen nicht wirklich (siehe Neues zum Malwarebefall bei Gigaset Android-Smartphones). Ich hatte frühzeitig die Stillegung infizierter Geräte empfohlen (siehe Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten).

Erfahrungen eines Lesers

Blog-Leser Dieter D. hatte bereits im April 2021 und dann noch im Mai 2021 eine Rückmeldung über seine Erfahrungen per Mail übermittelt. Sein Gerät, welches nicht gesäubert werden konnte, scheint als Brücke für Anrufe aus dem Internet an Mobiltelefone nach Marokko zu dienen. Ich hatte diese im Blog-Beitrag Neues zum Malwarebefall bei Gigaset Android-Smartphones aufgegriffen. Nun hat Dieter mir vor einiger Zeit noch eine zweite Mail geschrieben, in der er weitere Erfahrungen beschrieben hat.

… den Honigtopf betrieb ich noch weiter. Es zeigte sich, dass nach dem Nachladen binnen dreier Tage sich wieder versteckte Telefonate nach außen als Brücke zur Verschleierung einstellten. Diese gingen immer in das Netz Medi Telecom in Marocco oder Tunesien. In diesen Ländern sind die Mobilprovider regional zugeordnet und das gilt auch für die Unterkreise bei den Telefonnummern.

Im Entwicklermodus konnte ich herausfinden, dass mindestens eine der Malware über die UICC-Methode aufgerufen wurde. In einem Beitrag fand ich bereits einen solchen Hinweis, dass dieser nur mit einer neuen Sim-Karte aus dem Teufelskreis ausbrechen konnte.

Das Kürzel UICC steht für Universal Integrated Circuit Card der Trusted Connectivity Allicance. Gegenüber einer SIM ist UICC die Plattform, auf der mehrere Sicherheitsanwendungen ausgeführt werden können. Der UICC-Angriff ermöglicht die Übernahme des Geräts über dessen UICC-SIM-Karte (siehe). Im aktuellen Fall wurde dies wohl für Telefonate genutzt. Anschließend führte Dieter noch folgendes aus:

Unter der Liste, welche Apps anscheinend Funktionen für den Virus beinhalten, wäre noch „Parallel Accounts Clone-Multiple Account Space“ (siehe) noch zu ergänzen.

Nachdem Google bei seinem Play Store die Anzeige, welche Apps man unter dem Account schon mal installiert hatte, entfernt hat, kann die List daher nicht mehr entsprechend fortgesetzt werden. Im Hintergrund, also nicht angezeigt, wurden alle paar Tage die Apps ausgetauscht. Daher war der Schadcode auch zu gut getarnt.

Nachdem ich die Bundesnetzagentur angeschrieben hatte, beschwerte sich der Provider, dass er nicht zuerst kontaktiert wurde. Komischerweise wurden die Gespräche gutgeschrieben noch bevor die eingeforderte Begründung beim Provider einging.

Vereinbart wurde eine neue Sim-Karte zuzusenden. Meine bisheriger Zugang wurde am Montag auf Dienstag so gesperrt, dass ich nur noch Anrufe empfangen kann. Die neue Karte erhielt ich am Mittwoch, tätigte meinen Anruf zur Aktivierung, der in wenigen Stunden erfolgen sollte. Bisher ist dies nicht erfolgt. Die neue Karte in einem neuen Smartphone ist nicht freigeben im Netz, die alte ist alles bis auf Empfang von Anrufen und SMS gesperrt.

Emails sind nicht beantwortet worden. Bei Anrufen bei der Hotline wird nur noch nach der Eingabe nach der Telefonnummer gefragt, die Eingabe der Kundennummer (PennyMobil (Congstar)) kommt gar nicht mehr, und nach vier Minuten fliegt man aus der Hotline.

Auf den Vorschlag, man könne über Abhören der Telefonate herausfinden, wer den Service bei den Hackern gebucht haben könnte, wurde bisher nicht eingegangen.

Geräte Mitglied eines Botnetzes

Die nachfolgend skizzierten Ausführungen konnte ich zuerst nicht so richtig einordnen.

Am Freitag in der Früh, der Tintendrucker (Brother Multifunktionsteil) war vorher abgeschaltet und kein Rechner mit Treiber oder Fähigkeiten vorhanden, wollte dieser ein Fax versenden. Bin dabei an das Telefonteil gestoßen und hörte dann noch etwas. Allerdings hat der Drucker keine Verbindung zu einer Telefonleitung. Normalerweise kann parallel zu diesem Betrieb nicht kopiert werden, aber hierbei ging das. Jetzt liegt das Fax vermutlich im Hauptspeicher und lässt sich nicht auslesen.

Beim Kopieren gibt es jetzt verschoben[e Schriften], somit quasi verschmierte Buchstaben, weil dabei die Werte für den Ausgleich des Versatzes beim Doppeldruck verloren gingen. D.h. die Botnetz-Gruppe ist in der Lage herauszufinden welche Drucker im Netz sind und kann einige Modelle direkt im Binary-Bytemodus ansteuern. Der Drucker war bis vor zwei Wochen in einem anderen WLAN-Netzwerk.

Mittlerweile wurde auf einem Raspberry-Pi 4 HostAP und Etherape eingerichtet. Die bestehende Verbindung des alten Smartphones, eine Gigaset 170, zum Botnetz ist dort gut zu sehen. Interessant war dabei festzustellen, dass vor Beginn der UDP-unknown-Pakete Abfragen des NTP-Protokolls versendet werden. Die Zeitangaben werden anscheinend für die Erzeugung des Schlüssels (Paßwort zur Erzeugung des Schlüssels) mit einbezogen. Das erschwert natürlich eine Entschlüsselung, wenn dies nicht nur für die Kommunikation, sondern für die Ransom-Malware auch verwendet würde.

Dieter schreibt abschließend noch, dass das neue Smartphone, ein Gigaset GS4, diese Kommunikationen nicht unterstützt und von den obigen Problemen nicht betroffen sei. Damit wären wir wieder beim von mir vorgeschlagenen Austauschs der SIM-Karte und Stillegung des betroffenen Gigaset-Smartphones.

Dieter hat mir dann auf Nachfrage noch geschrieben, dass durch den Hack auf seinem Smartphone die Geräte Mitglied in einem Botnet wurden (konnte er durch den Honigtopf feststellen). Zweitens wurde der SMS-Verkehr umgeleitet und verzögert. Durch die längere Deaktivierung von ein paar Tagen und nur kurzes Einschalten des WLAN konnte er auch feststellen, dass über die Umleitung auch Accounts angelegt wurden. Zum Beispiel kam vor kurzem eine SMS mit einer PIN von Nike auf dem infizierten Gigaset an.

Beim Drucker handelt es sich um einen alten MFC-795CW, der sich erst seit kurzem wieder im WLAN befindet, nach dem eine Patrone getauscht wurde. Dieter war Zufall zu diesem Zeitpunkt am Gerät und bekam mit, dass ein Fax verschickt werden sollte. Er schreibt, dass der Drucker wohl von infizierten Geräten über das WLAN angesteuert wurde:


Anzeige

a) um etwas zu versenden (In der Historie steht nur „55“ als Nummer)
b) Es wurde die Aufzeichnungsfunktion des Anrufbeantworters gestartet.
c) Parallel konnte er aber mit dem Gerät kopieren.

Weiteres Schritte waren nicht mehr möglich, so Dieter, weil das WLAN weggenommen wurde. Der Drucker lässt sich über Terminal ansprechen.

Nmap scan reportNot shown: 995 closed ports
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
80/tcp open http
515/tcp open printer
9100/tcp open jetdirect

Dieter schreibt dazu: Jeder, der einen Raspi mit den Defaultpasswörtern im Netz hatte, dürfte nun noch immer Mitglied im Botnet sein. Aufgefallen sind diese [die Betreiber des Botnet] nur, weil diese anscheinend sich mit der Leistungsfähigkeit der Hardware vertan haben. Diese hatten zu viel Ressourcen an RAM und Prozessorleistung gezogen. Daher kam es immer wieder zu Fehlermeldungen von Abstürzen der Apps und Systemfunktionen.

Ähnliche Artikel:
Gigaset Android-Update-Server liefern vermutlich Malware aus
Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021)
Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten
Update zum Malware-Befall bei Gigaset Android-Geräten (6.4.2021)
Vorläufige Analyse des Gigaset Malware-Angriffs durch Auto-Installer in der Firmware
Kurzinfo: Gigaset-Pressemitteilung zum Malware-Befall der Android-Geräte (8.4.2021)

Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 1
Malwarebefall von Gigaset Android-Geräten: Analysen und Handlungsoptionen (8.4.2021) – Teil 2
Gigaset: Hürden beim Bereinigen des Malwarebefalls (12. April 2021)
Gigaset-Malwarebefall und das WhatsApp/SIM-Problem
Neues zum Malwarebefall bei Gigaset Android-Smartphones


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit Android, Geräte, Gigaset, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Nachtrag zum Malwarebefall bei Gigaset Android-Smartphones

  1. noname sagt:

    Vielen Dank an Dieter und auch an Günter für die Analyse und das Publizieren!

  2. TrustedComputing sagt:

    Ich wollte einen längeren Rant schreiben über Applikationen auf SIM-Chips, aber ich lasse das lieber. Den ganzen Ärger könnte man sich sparen, wenn man da nur etwas nach PUK-Eingabe installieren könnte, oder NUR digital signierte Applikationen.

    Egal. Die Hersteller wollten NIE unsere Sicherheit, sie wollen unser Geld. Damit ist jede Debatte darüber sinnlos. Ein toller Artikel und eine tolle Lektion. Dieter hat meinen Respekt, dass er direkt zur BNetzA ist, statt sich von seinem Provider beschwatzen zu lassen.

  3. Christian Krause sagt:

    Das ist krass, weil ich bisher netzwerkdrucker nicht absichere und viele Dienstleister kenne, die das auch nicht machen… Das sollte ich ändern

    • TrustedComputing sagt:

      Die Frage ist „Wie?“.
      Die Angriffe erfolgen ja von kompromittierten Geräten im Heim-LAN. Ergo dürfte man nur 2-3 Desktops erlauben im gleichen VLAN auf den Drucker zuzugreifen. Alternativ knipst man die Fax-Funktion in der Fritzbox aus, wenn man sie nicht verwendet. Der Angriff ist ja so perfide, da der Schädling schon im LAN sitzt.

      • Anonymous sagt:

        Meinem Drucker habe ich in der FritzBox schon lange verboten, nach draußen zu telefonieren (also ins WWW zu gehen), warum sollte er auch… Ebenso wie meinen Fernsehern, die nur im Heimnetz befüttert werden (Kommunikation/Streamen von/nach draußen macht eine andere Kiste). Ist das nicht eine Lösung?

  4. JG sagt:

    „Sein Gerät, welches nicht gesäubert werden konnte, scheint als Brücke für Anrufe aus dem Internet an Mobiltelefone nach Marokko zu dienen.  „

    „Im aktuellen Fall wurde dies wohl für Telefonate genutzt.“

    Fürs Telefonieren muss man so eine Methode auswählen? Telefoniert dann immer nur eine Person oder mehrere gleichzeitig? Falls es immer nur eine Person ist, dann könnte es doch sein, dass es für ganz andere Zwecke genutzt wird. Am Ende bekommt der Simkarteninhaber noch Besuch früh morgens.

    Es gibt doch bestimmt Möglichkeiten kostenlos über das Internet zu Telefonieren. Wieso so kompliziert?

    „Dieter schreibt abschließend noch, dass das neue Smartphone, ein Gigaset GS4, diese Kommunikationen nicht unterstützt und von den obigen Problemen nicht betroffen sei.“

    Toll, Gigaset hat wieder Geld bekommen. Erinnert mich an einen VW Kunden der wütend auf VW war wegen der Schummelsoftware. Sein neues Auto war dann ein E-Golf. Läuft.

  5. Lorem Ipsum sagt:

    Hallo Günther,

    ich bin gerade über einen Artikel¹ bei Itexperst gestoßen, welcher über eine ziemlich gut gemachte RAT-Trojaner-App berichtet und dachte mir, dass es dich eventuell interessieren könnte.

    LG

    Lorem Ipsum

    1) https://www.itexperst.at/android-benutzer-durch-boesartige-system-update-app-gefaehrdet-13443.html

    • Günter Born sagt:

      Das ging m.W. im März 2021 ziemlich breit auf Webseiten herum (ich hatte es allerdings nicht im Blog). Hatte, als das mit Gigaset passierte, direkt an diese Geschichte gedacht. Aber bald war klar, dass es im aktuellen Fall ein Lieferkettenangriff auf deren Update-Server war. Mit deinem Link haben wir den Verweis ja nun im Blog. Danke.

      • Lorem Ipsum sagt:

        Ich war beim lesen des Artikels wohl etwas unachtsam, denn bei den zwei Links steht eigentlich, dass es von März ist und ich dachte es wäre etwas neues…

        Naja ich denkt, dass ich die Seite wieder deabonnieren werde. Alte Nachrichten als „neu“ zu verkaufen finde ich nicht so toll.
        LG
        Lorem Ipsum

        P.s. Vielen Dank für den Hinweis.

        • Günter Born sagt:

          Ich weiß nicht, ob die das neu eingespült haben, ich sah den Titel, den Anrisstext und das Publikationsdatum – da war mir klar, dass dies die März-Geschichte gewesen sein muss.

          • Lorem Ipsum sagt:

            Guten Morgen Günter,

            leider bin ich am Freitagnachmittag und Wochenende nicht mehr dazugekommen dir zu Antworten.

            Ich hatte den Artikel am Morgen gelesen, sprich es kann sein, dass ich noch nicht ganz wach war, aber mir ist im Artikel, bis auf das Datum bei den zwei Links nichts aufgefallen, dass es vom März war, daher würde ich schon sagen, dass es als neu verkauft wurde.

            LG

            Lorem Ipsum

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.