Digital Eliteboard - Das Digitale Technik Forum

Registriere dich noch heute kostenloses um Mitglied zu werden! Sobald du angemeldet bist, kannst du auf unserer Seite aktiv teilnehmen, indem du deine eigenen Themen und Beiträge erstellst und dich über deinen eigenen Posteingang mit anderen Mitgliedern unterhalten kannst! Zudem bekommst du Zutritt zu Bereiche, welche für Gäste verwehrt bleiben

Handy - Navigation Malwareschleuder bei Gigaset-Smartphones: Nutzer melden Schad-Apps

Nutzer von Gigaset-Smartphone melden derzeit vermehrt Probleme mit Malware. Der Verdacht steht nun im Raum, dass der Hersteller oder einer der angebundenen Dienste gehackt wurde und unwissentlich Schadsoftware verteilt. Noch ist die Herkunft aber ungeklärt.

Das berichtet Günter Born in seinem Blog und verweist dabei auf zahlreiche Foren-Einträge, in denen die Probleme derzeit diskutiert werden. Zudem hatten sich Leser direkt an Born gewendet - und nach seinem ersten Beitrag zu dem Malware-Problem bei Gigaset werden es immer mehr Meldungen. Die Betroffenen melden dabei immer ähnliche Probleme, die sich meist durch unerwünschte Werbeeinblendungen zeigen, es handelt sich dabei um sogenannte Adware.

Einfallstor für weitere Schadsoftware

Bei Adware verdienen Cyberkriminelle Geld durch die Anzeige von Werbung, häufig auch verbunden mit Klick-Betrug, wobei sich im Hintergrund immer weitere Seiten öffnen. Oftmals werden dann automatisch weitere Apps heruntergeladen, die als Einfallstor für weitere Schadsoftware dienen. Betroffene, die einen Virenscanner laufen haben, hatten die Schadsoftware laut Born als verschiedene Apps auf ihren Handys entdeckt, die plötzlich installiert waren. Dazu gehören Apps mit Namen wie xiaoan, gem, smarter, tayase oder easenf.

Ein Benutzer hat die .apk-Dateien zu Virustotal hochgeladen und analysieren lassen - die Auswertung zeigt, dass es sich bei den Apps um die Adware.AndroidOS.BrowserAd.A!c handelt.

Apps lassen sich nicht einfach löschen

Wer die Apps dabei bereits identifiziert hat, die auf seinem Smartphone nun für die unerwünschten Werbe-Popups sorgen, ist schon einen wichtigen Schritt weiter. Problematisch ist, dass einige Apps über die Systemupdates installiert werden und von Nutzern selbst häufig nicht gelöscht werden können. Betroffene melden zudem, dass wenn sie zum Beispiel mithilfe eines Virenscanners die Apps löschen konnten, die Apps sich automatisch über den Google Play Store neuinstallierten.

Bisher ist von Gigaset noch nichts zu dem Thema zu hören. Ein Betroffener schreibt, er hätte eine Antwort von dem Unternehmen erhalten:

"Gigaset hat bereits per eMail Stellung genommen und behauptet, dass es sich um Software von Drittanbietern handeln würde, da das Gerät über die SIM-Karte und Google auch mit weiteren Servern verbunden wäre. Zusätzlich schieben sie es auf WebView-APK, die man updaten sollte. Dann sollte das Problem weg sein." Geholfen habe das aber nicht. Auf weitere Details wird man wohl jetzt bis nach den Oster-Feiertagen warten müssen.

Unbenannthu.jpg

Quelle; winfuture
 
Ganz ehrlich: selbst schuld wenn man sich ein Gigaset "Smartphone" kauft. Nur wegen den Cashback Aktionen so ein Smartphone zu kaufen, geht gar nicht.
 
Es geht doch eigentlich darum, dass der Eigentümer eines Handy heute selbst nix auf seinem Fon zu melden hat. Die Dinger sind so vom Hersteller eingerichtet, dass man selbst nicht als Administrator entscheiden darf, was, wie, wo und warum nicht ...bestimmen was auf dem Handy installiert ist und was nicht, ob eine Internetverbindung erlaubt wird oder nicht. Das, weil das Handy nicht frei ist. Versuche doch mal die Hersteller eigenen app's runter zu schmeißen!

Ein Root würde helfen und man könnte es solchen schädlichen app's verbieten sich zu installieren oder mit dem Internet zu verbinden. (Durch volle Kontrolle über einer Firewall)

Das wollen aber die Hersteller nicht, denn so kann man dann ja selbst als Handyhersteller nicht mehr über sein Produkt rumherrschen. Man könnte dann ja auch verbieten, dass die Hersteller-apps installiert und aktiv wären. Auch das verkleben der Akkus im Gerät (ein Unding!) gehört dazu, dass der Nutzer Teil der Kontrolle verliert.

Es fängt immer erst mit einem Produkt an, bis sich andere Hersteller solche schlechten Eigenarten annehmen.
 

Gigaset äußert sich zu Malware-Befall bei Android-Smartphones​


Wir berichteten darüber, dass sich Besitzer von Gigaset-Smartphones auf einmal in der Situation vorfanden, dass sich Malware auf ihren Geräten breitmachte. Dies sorgte für aufploppende Casino-Webseiten im Browser, teilweise gesperrten WhatsApp-Konten und übernommenen Facebook-Accounts. Ein wirklicher Smartphone-Gau. Mittlerweile hat sich Gigaset auch geäußert. Es war ein Update-Server, der von Gigaset-Geräten zur Aktualisierung benutzt wird, kompromittiert, sodass die betreffenden Geräte durch Malware befallen wurden.

Dieser Kompromittierung des Update-Servers ist nach aktuellem Kenntnisstand wohl behoben, sodass keine Malware mehr neu installiert wird. Es heißt auch, dass man versuchen wolle, die bereits befallenen Geräte über ein Update „zu säubern“ – wie auch immer man sich das genau vorstellt, vielleicht stellt man Nutzern Software oder eine Anleitung zur Verfügung. Sollte der Update-Server clean sein, so könnten Nutzer nun versuchen, ihr Gerät neu aufzusetzen.

Quelle; caschy


Malwareschleuder Gigaset: Erste heiße Spuren beim Schadcode-Rätsel

Plötzlich taucht auf einigen Smartphones von Gigaset Schadcode auf, wo die Malware-Welle ihren Anfang nahm, bleibt aber auch Tage nach der ersten Flut weitgehend ungeklärt. Gigaset schweigt sich aus, externe Experten sind dem Ursprung aber langsam auf der Spur.

Woher kommt der Schadcode auf Gigaset-Geräten? Eine echte Spurensuche

Am Wochenende konnten wir darüber berichten, dass Nutzer von Gigaset-Smartphones seit Freitag vermehrt Probleme mit Malware vermelden - Günter Born hatte in einem Blogbeitrag entsprechende Forenmeldungen zusammengetragen. Die Folgen für Nutzer reichen vom automatischen App-Download über Werbeeinblendungen durch Adware bis hin zum Zugriff auf sensible Daten und Apps wie WhatsApp. Darüber hinaus kann auch die Geräteleistung und die Akkulaufzeit bei infizierten Geräten beeinträchtigt sein.


Du musst dich Anmelden oder Registrieren um diesen Inhalt sichtbar zu machen!

Diese weitreichenden und kritischen Sicherheitsprobleme hat Gigaset auch Tage nach den ersten Nutzer-Berichten bisher nicht öffentlich kommentiert, das
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
ist aktuell wegen "Wartungsarbeiten" auf unbestimmte Zeit offline. Wie heise schreibt, haben externe Experten bei der schwierigen Spurensuche jetzt aber wohl genügend Hinweise entdeckt, um zumindest einen ersten Rückschluss auf den Ursprung der Malware-Welle ziehen zu können.

Folgende Hinweise werden aktuell im Gigaset-Schadcode-Fall verfolgt:
  • Da betroffene Nutzer unterschiedliche Mobilfunkanbieter in Europa nutzen, ist eine Verbindung mit SIM-Karten- und Mobilfunk-Providern unwahrscheinlich
  • Der Bericht eines Administrators spricht gegen eine Infektion über den Browser, einen Link in einer Nachricht oder über installierte Apps. Dieser hatte Probleme vermeldet, obwohl die von ihm verwalteten über 100 Gigaset GS370 Plus-Geräte auf Android-Firmware-Updates beschränkt waren. heise zitiert einen weiteren Administrator, dessen Geräte-Flotte ebenfalls infiziert wurde, obwohl diese mit einer Beschränkung auf eine App betrieben wurden.
  • Zu guter Letzt war es Betroffenen möglich, durch eine Deinstallation der System-App update.apk über die Android Debug Bridge (ADB) eine Neuinstallation von Schadcode und Software zu verhindern.

Nimmt man all diese Hinweise zusammen, ergeben sich bisher nach Meinung von Experten wohl zwei Szenarien, die für das Schadcode-Chaos verantwortlich sein könnten - beide würden für den Hersteller echte Hiobsbotschaften bedeuten. So ist es aktuell gut vorstellbar, dass bei Gigaset ein Update-Server infiziert wurde, mindestens ebenso kritischer wäre für den Hersteller eine "Kompromittierung ab Werk".

Geräte nicht mehr nutzen

Nach einem Hinweis hat das zuständige BSI bisher nur mitgeteilt, dass das Lagezentrum sich um "die nächsten Schritte" kümmern werde. Gigaset selbst macht auch weiterhin keine Andeutungen, ob und wie man gedenkt, über die weitreichende Infektionswelle zu informieren. Und so bleibt für Betroffene ohne komplexe eigene Maßnahmen bis zu einer endgültigen Klärung wohl nur ein guter Rat: komplette Stilllegung der Geräte.

Quelle; winfuture
 
Zuletzt bearbeitet:
Update vom 7. April: Wie der IT-Experte Günter Born in seinem
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
berichtet, äußerte sich Gigaset telefonisch zur Sachlage und veröffentlichte abseits davon ein
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
. Unter anderem sollen dabei folgende Punkte bestätigt worden sein:

  • Es ist nur ein Teil der Geräte vom Malware-Befall betroffen - (Geräte, die über einen bestimmten Update-Server beliefert werden).
  • Es war ein Update-Server, der von Gigaset-Geräten zur Aktualisierung benutzt wird, kompromittiert, so dass die betreffenden Geräte durch Malware befallen wurden.
  • Dieser Kompromittierung des Update-Servers ist nach aktuellem Kenntnisstand wohl behoben, so das keine Malware mehr neu installiert wird.

Offizielles Statement von Gigaset

Im Rahmen von routinemäßigen Kontrollanalysen ist uns aufgefallen, dass bei einigen älteren Smartphones Probleme mit Schadsoftware aufgetreten sind. Diese Erkenntnis wurde auch durch Anfragen von einzelnen Kunden bestätigt.

Wir nehmen das Thema sehr ernst und arbeiten intensiv an einer kurzfristigen Lösung für die betroffenen Nutzer.

Dabei arbeiten wir eng mit IT-Forensikern und den zuständigen Behörden zusammen. Wir werden die betroffenen Nutzer schnellstmöglich informieren und Informationen zur Lösung des Problems bereitstellen.

Wir gehen davon aus, dass wir binnen 48 Stunden weitere Erkenntnisse, bzw. eine Lösung des Sachverhalts anbieten können.

Wichtig ist an dieser Stelle auch zu erwähnen, dass nach aktuellem Kenntnisstand der Vorfall nur ältere Geräte betrifft.

Wir gehen derzeit davon aus, dass die Geräte GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 und GS4 nicht betroffen sind.

Quelle; winfutre
 
Gigaset veröffentlicht Reparaturanleitung für befallene Android-Geräte

Gigaset hat erste Details zur Malware-Infektion auf seinen Geräten veröffentlicht, und auch, wie sich diese entfernen lässt. Aber einige Fragen bleiben offen.

Gigaset hat nun Hinweise dazu gegeben, wie die vor Ostern von Malware befallenen Geräte repariert werden können. Infizierte Geräte sollen automatisch von der Schadsoftware befreit werden. Dazu müssten die Geräte mit dem Internet verbunden sein (WLAN oder mobile Daten). Es wird empfohlen, die Geräte an das Ladegerät anzuschließen. Innerhalb von 8 Stunden soll es automatisch von der Schadsoftware befreit sein, erläutert Gigaset.

Über einen kompromittierten Update-Server waren diverse Trojaner auf die Smartphones gelangt und hatten dort unterschiedliche Schäden angerichtet.
Du musst dich Anmelden oder Registrieren um diesen link zusehen!
umgehend eingegriffen und Kontakt mit dem Update-Service-Provider aufgenommen. Dieser habe unmittelbare Maßnahmen ergriffen und Gigaset gegenüber bestätigt, dass die Infizierung von Smartphones am 7. April abgestellt werden konnte.

Für Betroffene, die keine automatische Reparatur durchführen möchten, gibt Gigaset in seinem Dokument die Schritte an, um das Gerät auf einen Malwarebefall zu prüfen und diese gegebenenfalls manuell zu installieren. Allerdings berichteten Leserinnen und Leser von heise online von erneut wiederkehrenden Schad-Apps. Zudem deutet sich an, dass Gigaset nicht alle bisher beobachteten Schad-Apps in der Liste der zu entfernenden Apps aufgeführt hat.

Aktuell ist auch unklar, inwieweit die automatischen Updates infizierte Gigaset-Geräte zuverlässig vom Malwarebefall säubern können. Zudem dürften viele Betroffene nicht in der Lage sein, den Befall zuverlässig zu erkennen sowie die Säuberung einzuleiten.

Der Hersteller bietet deshalb an, den Gigaset-Service unter +49 (0)2871 912 912 (Zum Festnetztarif des Telefonanbieters) zu kontaktieren. Ob dort aber ein Austausch des Geräts oder eine Erstattung des Kaufpreises für das Gerät angeboten wird, steht zurzeit nicht fest.

Nicht alle Geräte infiziert

Gigaset schreibt, dass nur ein Teil seiner Geräte infiziert worden sei. Potenziell betroffen seien ausschließlich ältere Smartphone-Modelle der Baureihen GS100, GS160, GS170, GS180, GS270 (plus) sowie GS370 (plus). Nicht betroffen von diesem Vorfall sind laut Gigaset die Smartphone-Baureihen GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 und GS4.

Nach Gigasets jetzigen Informationsstand seien aus den genannten Geräteserien nur einige Geräte infiziert worden; und zwar solche, bei denen die Software-Updates nicht ausgeführt wurden. In der Folge sei auf diese Geräte Schadsoftware durch einen kompromittierten Server eines externen Update-Service-Providers aufgespielt worden.

Redstone

Demnach war es Dritten gelungen, über einen Lieferketten-Angriff die Schadsoftware per Update-Server zu verteilen. Es wird vermutet, dass es ein Update-Server von Redstone war. Unklar bleibt, ob Updates nicht digital signiert wurden oder ob der private Schlüssel zum Signieren von Updates in die Hände Dritter gelangte.

Update-Provider RedStone sollte vermutlich nach einem ersten Malware-Befall 2019 wohl nicht mehr für die Bereitstellung von Updates fungieren oder dessen Funktionen besser abgesichert werden. Das hatte Gigaset durch eine Aktualisierung der Geräte-Firmware angestrebt. Diese Aktualisierung scheint nicht auf allen Geräten erfolgreich durchgeführt worden zu sein.

So konnte ein in der Firmware vorinstalliertes Paket com.redstone.ota.ui als System-App die Verteilung der Malware übernehmen, schildert Malwarebytes. Diese System-App sei aber nicht nur der System-Updater des Mobilgeräts, sondern auch ein Auto-Installer, bekannt als Android/PUP.Riskware.Autoins.Redstone.

Mehrere Trojaner werden geladen

In einer technischen Analyse hat Malwarebytes herausgefunden, dass über com.redstone.ota.ui gleich drei Versionen der Malware Android/Trojan.Downloader.Agent.WAGD auf die infizierten Systeme installiert wurden. Der Paketname dieser Malware beginnt immer mit "com.wagd." und wird vom Namen der App (gem, smart, xiaoan) gefolgt.

Die Schadsoftware Android/Trojan.Downloader.Agent.WAGD kann bösartige Nachrichten über WhatsApp versenden, neue Registerkarten im Standard-Webbrowser zu Spiele-Websites öffnen, weitere bösartige Apps herunterladen und möglicherweise andere bösartige Aktionen ausführen. Malwarebytes vermutet, dass die bösartigen WhatsApp-Nachrichten höchstwahrscheinlich dazu dienen, die Infektion auf andere mobile Geräte weiterzuverbreiten.

Über den Downloader wurden also diverse Schad-Apps installiert, vom Crypto-Geld-Miner bis hin zum Trojaner, der bösartige SMS-Nachrichten senden kann, um die Infektion weiterzuverbreiten. Rückmeldungen von Betroffenen legen nahe, dass die Malware Funktionen aufweist, um kostenpflichtige Optionen auf Spieleseiten zu buchen, die erst später mit der Abrechnung des Mobilfunkanbieters bekannt werden. Alles in allem das volle Programm. Ein einmal infiziertes Gerät muss als kompromittiert gelten, denn niemand weiß, welche Malware noch installiert wurde.

Datenabfluss

Vermutlich sind durch die Trojaner Daten abgeflossen. Betroffene berichten unter anderem von einer Whatsapp-Sperre und nach einer erneuten Freigabe des Kontos, dass sie Whatsapp-Nachrichten aus der ganzen Welt zurückbekommen hätten. Die Telefonnummer der SIM-Karte dürfte daher für Whatsapp sowie den Versand von SMS-Nachrichten "verbrannt sein". Betroffene sollten vorsichtshalber die Kennwörter von Online-Konten an einem nicht infizierten Gerät ändern. Zudem besteht das Risiko, dass die Telefonnummer zukünftig Ziel von Schad-SMS oder -Whatsapp-Nachrichten sein könnte.

Um sich vor durch den Malware-Befall verursachten Kosten abzusichern, sollten Anrufe oder SMS zu teuren Mehrwertdiensten sowie das Buchen von Optionen auf Webseiten beim Provider gesperrt werden. Wurde das betroffene Gerät dienstlich benutzt, ist zudem zu prüfen, ob die zuständige Datenschutzaufsicht binnen 72 Stunden über einen DSGVO-Verstoß zu unterrichten ist.

Quelle; heise
 
Malwareschleuder Gigaset: Unternehmen startet automatische Abhilfe

Der Smartphone-Hersteller Gigaset hat, nachdem entdeckt wurde, dass aufgrund eines kompromittierten Servers eines externen Update-Service-Providers Schadsoftware aufgespielt wurde, nun eine einfache Lösung für Betroffene gestartet.

Es wurden Maßnahmen getroffen, um infizierte Geräte automatisch von der Schadsoftware zu befreien, teilt Gigaset jetzt mit. Damit erhalten nun alle Besitzer eines der betroffenen Geräte (Liste dieser Geräte haben wir am Ende des Beitrags noch einmal angefügt) ein automatisches Update. Mit dieser Softwareaktualisierung sollen die Geräte, auf die durch den kompromittierten Server diverse Schad-Apps verteilt wurden, bereinigt werden.

Wer möchte, kann die Apps auch manuell entfernen

Der Nutzer selbst muss also gar nicht tätig werden, und die Apps manuell entfernen. Falls das aber jemand bevorzugt, hat Gigaset eine umfangreiche Anleitung für das Löschen der Schade-Software veröffentlicht.

Anmachen und abwarten

Alles, was man nun tun sollte, wenn man entweder ein Smartphone aus den Betroffenen Baureihen besitzt oder auch selbst die Schadsoftware auf seinem Handy entdeckt hat, ist nun, das Gerät am besten über WLAN mit dem Internet zu verbinden, es mit dem Ladegerät an die Stromversorgung anzuschließen und für mindestens acht Stunden so zu belassen. Dieser Zeitraum ist wichtig, um garantieren zu können, dass das benötigte Update auch ausgeliefert wurde. Es kann jedoch bei einigen älteren Geräten vorkommen, dass die automatische Entfernung der Schad-Apps fehlschlägt.

Gigaset informiert:

Im Verlauf des Freitags (09.04.2021) hat sich herausgestellt, dass bei einigen Geräten der beschriebene Lösungsweg nicht zur vollständigen Beseitigung der unerwünschten Apps führte. Entsprechend empfehlen wir betroffenen Kunden die vollständige Löschung des Geräts durch das Zurücksetzen in den Werkszustand. Wir empfehlen zudem Daten, die sich auf einer im Smartphone eingebrachten Speicherkarte befinden, ebenfalls zu löschen und die Karte zu formatieren.

Sollten nach diesem Vorgehen immer noch Probleme auftreten, bieten wir betroffenen Kunden an, sich an den Gigaset Kundendienst zu wenden [Telefon +49 (0)2871 912 912, zum Festnetztarif Ihres Anbieters], um das Gerät für weitere Analysen einzusenden.

Gigaset entschuldigt sich noch einmal für die aufgetauchten Schwierigkeiten: "Wir bedauern eventuelle entstandene Probleme unserer Kunden und halten Sie fortlaufend über Neuigkeiten informiert."

Potentiell betroffene Smartphone-Modelle:

  • GS160 - alle Softwareversionen
  • GS170 - alle Softwareversionen
  • GS180 - alle Softwareversionen
  • GS100 - bis zu Version GS100_HW1.0_XXX_V19
  • GS270 - bis zu Version GIG_GS270_S138
  • GS270 plus - bis zu Version GIG_GS270_plus_S139
  • GS370 - bis zu Version GIG_GS370_S128
  • GS370 plus - bis zu Version GIG_GS370_plus_S128

Quelle; winfuture
 
Zurück
Oben