UPDATE #2: Offizieller Server spielt Schadsoftware auf Gigaset-Smartphones auf

Seit Ende März wurden Smartphones der Marke Gigaset immer wieder mit Schadsoftware infiziert. Die Malware kam von einem offiziellen Update-Server, weshalb sich Neuinfektionen nicht ohne weiteres vermeiden ließen. Gigaset konnte die Malware-Auslieferung am 7. April 2021 stoppen und hatte am selben Tag auch eine Lösung für betroffene Kunden veröffentlicht. Diese entpuppte sich allerdings als unzureichend und wurde nun komplett überarbeitet.

Viel zu optimistisch
Gigaset hatte zunächst angekündigt, die schädlichen Apps von allen mit dem Internet verbundenen automatisch zu löschen. Als Alternative wurde eine Reihe von Apps genannt (Gem, Smart, Xiaoan, easenf, Tayase, yhn4621.ujm0317, wagd.smarter und wagd.xiaoan), welche die Benutzer manuell zu deinstallieren hätten. Im Anschluss solle man das Smartphone auf den neuesten Stand bringen. Gigasets Vorschlag war geprägt von der Annahme, dass die installierte Malware vergleichsweise harmlos sei und sich nicht zu tief im System eingenistet hätte. Dies war leider ein Irrtum, denn bei vielen Kunden kehrte die Infektion zurück bzw. konnte gar nicht vollständig entfernt werden.

Nun doch auf die harte Tour
Und so bleibt auch den Gigaset-Kunden nur die übliche Vorgehensweise: Sie müssen ihre Smartphones auf den Werkzustand zurücksetzen, um die Schadprogramm loszuwerden. Zudem empfiehlt der Hersteller, die im Smartphone eingesetzten Speicherkarten vor dem Zurücksetzen zu löschen und im Anschluss neu zu formatieren. Hierzu hat das Unternehmen eine Anleitung für Android 6, 7 und 8 bereitgestellt. Die persönlichen Daten und Apps sind vor dem Zurücksetzen über die Cloud oder mit Hilfe einer Backup-Software zu sichern. Das manuelle Aufspielen eines Firmware-Updates schafft laut Gigaset keine Abhilfe, da hierbei die schadhaften Apps und eventuelle weitere Kompromittierungen erhalten bleiben. Sollte auch die Holzhammermethode nicht funktionieren, bietet Gigasets Service unter der Telefonnummer 02871 912 912 (zum Festnetztarif) Hilfestellung.

Ein Rückblick
Nachdem erste Betroffene ihre Probleme schon Ende März bei Google gemeldet hatten, wurde das Thema Anfang April von Borns IT- und Windows-Blog aufgegriffen. Als Quelle der Infektion wurde von Betroffenen die Datei update.apk (Paketname: com.redstone.ota.ui) ausgemacht, welche ein Teil der Geräte-Firmware ist und die weitere Updates von Gigasets Servern nachlädt. Schon früh deutete vieles darauf hin, dass mindestens einer von Gigasets Update-Servern manipuliert worden war und Gigasets Qualitätssicherung bestätigte diesen Verdacht am 6. April 2021 - allerdings nur gegenüber Borns IT- und Windows-Blog. Erst einen Tag später konnte die Malware vom Server entfernt werden, da Gigaset einen externen Dienstleister für die Bereitstellung und Auslieferung von Updates nutzt. An diesem Tag wurden dann endlich auch die Kunden über Gigasets Support-Seite informiert.

Welche Geräte sind betroffen?
Laut Gigaset gibt es mehrere Update-Server, die sich um unterschiedliche Smartphone-Modelle kümmern. Kompromittiert wurde nur einer der Server, welcher ausschließlich ältere Geräte versorgt. Konkret geht es um acht Modellreihen :

• GS100 (bis Version GS100_HW1.0_XXX_V19)
• GS160 (alle Softwareversionen)
• GS170 (alle Softwareversionen)
• GS180 (alle Softwareversionen)
• GS270 (bis Version GIG_GS270_S138)
• GS270 plus (bis Version GIG_GS270_plus_S139)
• GS370 (bis Version GIG_GS370_S128)
• GS370 plus (bis Version GIG_GS370_plus_S128)

Nicht betroffen sind die Smartphones GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 und GS4.

Die Mitschuld der Kunden
Interessanterweise hatte Gigaset zunächst einen Teil der Verantwortung auf die Nutzer geschoben:

Nach jetzigem Informationsstand wurden aus den betroffenen Produktlinien nur einige Geräte, bei denen die in der Vergangenheit seitens Gigaset zur Verfügung gestellten Software-Updates nutzerseitig nicht ausgeführt wurden, infiziert. Auf diese Geräte wurde durch einen kompromittierten Server eines externen Update-Service-Providers Schadsoftware aufgespielt.

Gigaset sagte also, dass die anfällige Update-App mit dem Paketnamen com.redstone.ota.ui bereits im Rahmen regulärer Updates ersetzt wurde und die betroffenen Kunden diese Updates ignoriert hätten. Hier möchten wir ein großes Fragezeichen setzen, denn in unserem Umfeld waren einige Geräte betroffen, bei denen die Benutzer laut eigener Aussage den aktuellen Versionsstand installiert hatten. Auch Gigaset selbst führt für die Modelle GS160, GS170 und GS180 an, dass alle Versionsstände betroffen seien. Auf seiner überarbeiteten Hilfeseite hat Gigaset diese provokante Aussage vollständig gestrichen - eine kluge Entscheidung!

Die Tragweite der Infektion
Die Update-App mit dem Paketnamen com.redstone.ota.ui ist bei zahlreichen China-Smartphones werksseitig vorinstalliert, sie dient sowohl dem System-Update als auch der automatischen Installation von Updates und App-Paketen. Wie Nathan Collier von Malwarebytes erklärt, installiert dieser Auto-Installer unterschiedliche Versionen eines Download-Trojaners (Android/Trojan.Downloader.Agent.WAGD):

• Gem (Paketname: com.wagd.gem)
• Smart (Paketname: com.wagd.smarter)
• Xiaoan (Paketname: com.wagd.xiaoan)

In der Folge werden weitere Apps und Schädlinge ungefragt aufgespielt sowie die Startseiten diverser Webbrowser umgebogen. Gigaset selbst nennt die Apps Gem, Smart, Xiaoan, easenf, Tayase, yhn4621.ujm0317, wagd.smarter und wagd.xiaoan als gefährlich. Um sich selbst zu verbreiten, greift die Schadsoftware auf WhatsApp und SMS zurück. Dies kann dazu führen, dass das WhatsApp-Konto der Betroffenen oder sogar ihre Mobiltelefonnummer wegen missbräuchlicher Nutzung gesperrt wird. Nach dem Entsperren von betroffenen WhatsApp-Konten wurden diese mit Mitteilungen aus Afrika, Asien oder Südamerika überflutet.