Werbung
Zeit für den WLAN-Turbo: WLAN-USB-Adapter mit 1200 Mbit/s zum Sparpreis


UPDATE: Offizieller Server spielt Schadsoftware auf Gigaset-Smartphones auf

Meldung von doelf, Donnerstag der 08.04.2021, 11:53:13 Uhr

logo

Offenbar schon seit Ende März (Thread bei Google) wurden Smartphones der Marke Gigaset immer wieder mit Schadsoftware infiziert. Die Malware kam von einem offiziellen Update-Server, weshalb sich Neuinfektionen nicht ohne weiteres vermeiden ließen. Gigaset konnte die Malware-Auslieferung am 7. April 2021 stoppen und bietet inzwischen auch eine Lösung für betroffene Kunden, die nach Ansicht der deutschen Firma eine Mitschuld tragen, an. Wir haben unsere Meldung entsprechend aktualisiert.

Es gibt endlich eine offizielle Warnung
Das Thema wurde Anfang April von Borns IT- und Windows-Blog aufgegriffen, während man auf der offiziellen Webseite von Gigaset bis gestern auf einen entsprechenden Hinweis warten musste. Inzwischen finden Betroffene einen Lösungsvorschlag auf Gigasets Support-Seite. Die Foren der Gigaset Community sind wegen Wartungsarbeiten weiterhin offline. Als Quelle der Infektion wurde von Betroffenen die Datei update.apk (Paketname: com.redstone.ota.ui) ausgemacht, welche ein Teil der Geräte-Firmware ist und die weitere Updates von Gigasets Servern nachlädt. Schon früh deutete vieles darauf hin, dass mindestens einer von Gigasets Update-Servern manipuliert wurde und zumindest gegenüber Borns IT- und Windows-Blog hatte Gigasets Qualitätssicherung diesen Verdacht am 6. April 2021 bestätigt. Dass die Malware erst einen weiteren Tag später vom Server entfernt werden konnte, liegt daran, dass Gigaset einen externen Dienstleister für die Bereitstellung und Auslieferung von Updates nutzt.

Welche Geräte sind betroffen?
Laut Gigaset gibt es mehrere Update-Server, die sich um unterschiedliche Smartphone-Modelle kümmern. Kompromittiert wurde nur einer der Server, welcher ältere Modellreihen versorgt. Konkret geht es um acht Modellreihen :

  • GS100 (bis Version GS100_HW1.0_XXX_V19)
  • GS160 (alle Softwareversionen)
  • GS170 (alle Softwareversionen)
  • GS180 (alle Softwareversionen)
  • GS270 (bis Version GIG_GS270_S138)
  • GS270 plus (bis Version GIG_GS270_plus_S139)
  • GS370 (bis Version GIG_GS370_S128)
  • GS370 plus (bis Version GIG_GS370_plus_S128)
Nicht betroffen sind die Smartphones GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 und GS4. Interessanterweise schiebt Gigaset einen Teil der Verantwortung auf die Nutzer:

Nach jetzigem Informationsstand wurden aus den betroffenen Produktlinien nur einige Geräte, bei denen die in der Vergangenheit seitens Gigaset zur Verfügung gestellten Software-Updates nutzerseitig nicht ausgeführt wurden, infiziert. Auf diese Geräte wurde durch einen kompromittierten Server eines externen Update-Service-Providers Schadsoftware aufgespielt.

Gigaset sagt also, dass die anfällige Update-App mit dem Paketnamen com.redstone.ota.ui bereits im Rahmen regulärer Updates ersetzt wurde und die betroffenen Kunden diese Updates ignoriert hätten. Hier möchten wir ein großes Fragezeichen setzen, denn in unserem Umfeld waren einige Geräte betroffen, bei denen die Benutzer laut eigener Aussage den aktuellen Versionsstand installiert hatten. Auch Gigaset selbst führt für die Modelle GS160, GS170 und GS180 an, dass alle Versionsstände betroffen seien - das passt also nicht!

Die Tragweite der Infektion
Die Update-App mit dem Paketnamen com.redstone.ota.ui ist bei zahlreichen China-Smartphones werksseitig vorinstalliert, sie dient sowohl dem System-Update als auch der automatischen Installation von Updates und App-Paketen. Wie Nathan Collier von Malwarebytes erklärt, installiert dieser Auto-Installer unterschiedliche Versionen eines Download-Trojaners (Android/Trojan.Downloader.Agent.WAGD):

  • Gem (Paketname: com.wagd.gem)
  • Smart (Paketname: com.wagd.smarter)
  • Xiaoan (Paketname: com.wagd.xiaoan)

In der Folge werden weitere Apps und Schädlinge ungefragt aufgespielt sowie die Startseiten diverser Webbrowser umgebogen. Gigaset selbst nennt die Apps Gem, Smart, Xiaoan, easenf, Tayase, yhn4621.ujm0317, wagd.smarter und wagd.xiaoan als gefährlich. Um sich selbst zu verbreiten, greift die Schadsoftware auf WhatsApp und SMS zurück. Dies kann dazu führen, dass das WhatsApp-Konto der Betroffenen oder sogar ihre Mobiltelefonnummer wegen missbräuchlicher Nutzung gesperrt wird. Nach dem Entsperren von betroffenen WhatsApp-Konten wurden diese mit Mitteilungen aus Afrika, Asien oder Südamerika überflutet.

Gigasets Lösungsansatz
Gigaset setzt auf eine automatisierte Bereinigung. Hierzu muss das Smartphone über einen Zeitraum von rund acht Stunden mit dem Internet verbunden sein. Der Hersteller empfiehlt, die Smartphones über diesen Zeitraum am Ladegerät zu betreiben. Im Rahmen einer manuellen Bereinigung rät Gigaset, die Apps Gem, Smart, Xiaoan, easenf, Tayase, yhn4621.ujm0317, wagd.smarter und wagd.xiaoan - sofern vorhanden - zu deinstallieren und das Smartphone auf den neuesten Stand zu bringen. Sollten die Apps wiederkehren, bietet Gigasets Service unter der Telefonnummer 02871 912 912 (zum Festnetztarif) Hilfestellung.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]