Immer mehr Nutzer melden mit Malware infizierte Smartphones von Gigaset, die nach einem Update Schadsoftware verteilen. Der Update-Server des Herstellers steht im Verdacht den Schadcode unbemerkt einzuschleusen. Auch ComputerBase-Leser sind von dem Problem betroffen gewesen.
Malware-Angriffe auf Smartphones von Gigaset
Als Erster berichtete Günther Born auf der Website Borns IT- und Windows-Blog am 3. April über das merkwürdige Verhalten von Smartphones des Unternehmens Gigaset, das sich in plötzlich öffnenden Browser-Fenstern mit dubioser Werbung oder Weiterleitungen zu Glücksspielseiten äußert. Auch im Google-Support-Forum beschrieben Besitzer des Gigaset GS185 und Gigaset GS195 dieses Problem.
Das Gigaset GS195 und andere Modelle sind von Malware-Angriffen betroffen (Bild: Gigaset)
Bild 1 von 2
Kurz darauf meldeten sich auch die ComputerBase-Community-Mitglieder „Post-Melone“ und „konkretor“ im ComputerBase-Forum zu Wort, die beide ebenfalls indirekt von dem Problem betroffen sind. Das Mobilfunknetz spielt dabei keine Rolle, Smartphones mit SIM-Karten von E-Plus, O2, Vodafone und der Deutschen Telekom sind gleichermaßen betroffen.
Malware soll per Update verteilt werden
Günter Born hat in der Zwischenzeit einen entsprechenden Leitfaden für betroffene Nutzer veröffentlicht und den Update-Server des deutschen Herstellers als Ursprung des Malware ausgemacht.
X
An dieser Stelle steht ein externer Inhalt von X, der den Artikel ergänzt und von der Redaktion empfohlen wird. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.
Die betroffene Smartphones verraten sich bisweilen auch durch eine schnellere Entladung des Akkus und gesperrte WhatsApp-Konten, wie Beiträge im Forum von Malwarebytes zeigen. Es wird empfohlen die betroffenen Smartphones stillzulegen, bis Gigaset eine entsprechende Lösung für das Problem liefert. Auch Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik, hat sich bereits zu Wort gemeldet und das Lagezentrum des BSI informiert.
X
An dieser Stelle steht ein externer Inhalt von X, der den Artikel ergänzt und von der Redaktion empfohlen wird. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.
Leider nicht auf Mallorca sondern zu Hause. Lagezentrum des BSI ist informiert und kümmert sich um die nächsten Schritte. Danke für den Hinweis. Wünsche frohe gesegnete Ostern!
Die Redaktion dankt Community-Mitgliedern „konkretor“ und „knoXxi“ für ihre Hinweise zu dieser Meldung.
Update
Gigaset äußert sich zum aktuellen Stand
Wie Günther Born in einem Update auf seiner Website Borns IT- und Windows-Blog berichtet, hat er in der Zwischenzeit ein Telefonat mit der Qualitätssicherung des Herstellers Gigaset führen und ein wenig Licht ins Dunkle bringen können.
Aktuell sei der folgende Sachstand, nach Untersuchungen durch Gigaset, weitgehend gesichert:
Es ist nur ein Teil der Geräte vom Malware-Befall betroffen – (Geräte, die über einen bestimmten Update-Server beliefert werden).
Es war ein Update-Server, der von Gigaset-Geräten zur Aktualisierung benutzt wird, kompromittiert, so dass die betreffenden Geräte durch Malware befallen wurden.
Dieser Kompromittierung des Update-Servers ist nach aktuellem Kenntnisstand wohl behoben, so das keine Malware mehr neu installiert wird.
Günther Born, Borns IT- und Windows-Blog
Nutzer, die ausschließen können, dass ihre Smartphones betroffen sind, können diese unter Vorbehalt wieder benutzen. Auch deute sich an, dass der Hersteller betroffene Smartphones demnächst per Update säubern kann, so Born weiter.
Untersuchungen stehen kurz vor dem Abschluss
Gigaset wolle sich morgen am 7. April noch einmal außführlich zu dem Sachverhält äußern, sobald die Untersuchungen abgeschlossen seien. In der Zwischenzeit haben auch das BSI und der CERT-BUND weitere Maßnahmen ergriffen und untersuchen den Malware-Angriff im Detail.
Wer Samples kompromittierter System-Apps hat, möge die bitte an folgende Mail-Adresse schicken: samples@eset.com – bitte CC an aryeh.goretsky@eset.com. Aryeh Goretsky hat mir signalisiert, dass jemand aus deren Team CERT-BUND und ggf. auch CH kontaktiert, sobald genaueres vorliegt.
Günther Born, Borns IT- und Windows-Blog
Das Support-Forum von Gigaset ist zurzeit offline (Bild: ComputerBase-Forum)
Das Support-Forum des Herstellers ist derweil wegen Wartungsarbeiten offline genommen worden, wie Community-Mitglied „konkretor“ berichtet hat.
Die Redaktion dankt Community-Mitglied „.Silberfuchs.“ für den Hinweis zu diesem Update.
Update
Erste offizielle Stellungnahme seitens Gigaset
In der Zwischenzeit hat sich auch Gigaset mit einer ersten offiziellen Stellungnahme an die Redaktion gewandt und geht davon aus, innerhalb von 48 Stunden neue Erkenntnisse liefern zu können. Der Hersteller arbeite an einer „kurzfristigen Lösung“ für die betroffenen Nutzer.
Im Rahmen von routinemäßigen Kontrollanalysen ist uns aufgefallen, dass bei einigen älteren Smartphones Probleme mit Schadsoftware aufgetreten sind. Diese Erkenntnis wurde auch durch Anfragen von einzelnen Kunden bestätigt.
Wir nehmen das Thema sehr ernst und arbeiten intensiv an einer kurzfristigen Lösung für die betroffenen Nutzer.
Dabei arbeiten wir eng mit IT-Forensikern und den zuständigen Behörden zusammen. Wir werden die betroffenen Nutzer schnellstmöglich informieren und Informationen zur Lösung des Problems bereitstellen.
Wir gehen davon aus, dass wir binnen 48 Stunden weitere Erkenntnisse, bzw. eine Lösung des Sachverhalts anbieten können.
Gigaset
Der Hersteller geht nach aktuellem Stand der Dinge zudem davon aus, dass ausschließlich ältere Modelle von dem Malware-Angriff betroffen sind.
Wir gehen derzeit davon aus, dass die Geräte GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 und GS4 nicht betroffen sind.
Gigaset
Die Redaktion steht im direkten Kontakt mit Gigaset und wird an dieser Stelle weitere Details veröffentlichen, sobald der Hersteller sich erneut zu dem Sachverhalt äußert und eine mögliche Lösung präsentiert.
Update
Feedback aus der Community
Nachdem sich Gigaset noch einmal mit der Redaktion in Kontakt gesetzt und dieser mitgeteilt hat, dass die Untersuchungen zur Stunde noch andauern, gibt es neue Informationen zu den Schadprogrammen, die auf den betroffenen Smartphones gefunden wurden.
Durch Hinweise aus der Community des ComputerBase-Forums hat die Redaktion erfahren, dass vor allem die Modelle Gigaset GS 170 und Gigaset GS 180 mit Malware befallen sind.
Die folgenden Schadprogramme und Hintergrunddienste werden dabei immer wieder von Nutzern gemeldet:
com.wagd.smarter
com.wagd.xiaoan
BBQ Browser
AppSettings
easenf
Tayase
smart
gem
Die Redaktion steht im Austausch mit Gigaset und nimmt weitere Hinweise der ComputerBase-Leser jederzeit gerne an.
Update
Gigaset äußert sich ausführlich und bietet Lösungen an
In der Zwischenzeit hat sich Gigaset erneut mit der Redaktion in Verbindung gesetzt und sich ausführlich zum Sachverhalt geäußert.
Der Hersteller betont, „aus aktueller Sicht eine Lösung für die Kunden anbieten zu können“ und infizierte Geräte automatisch von der Schadsoftware zu befreien.
Gigaset habe „umgehend eingegriffen und Kontakt mit dem Update-Service-Provider aufgenommen“. Der Provider habe daraufhin „unmittelbare Maßnahmen ergriffen“ und Gigaset gegenüber bestätigt, dass die Infizierung von Smartphones am 7. April abgestellt werden konnte.
Um die infizierten Smartphones automatisch von der Schadsoftware zu befreien, müssen die Geräte mit dem Internet verbunden sein. Gigaset empfiehlt zudem, die Geräte an das Ladegerät anzuschließen. Betroffene Geräte sollten binnen 8 Stunden automatisch von den Schadprogrammen befreit sein.
Zudem liefert der Hersteller auch einen manuellen Lösungsansatz, der vom Nutzer selbst durchzuführen ist.
Prüfen Sie, ob Ihr Gerät betroffen ist
Prüfen Sie Ihre Software-Version. Die aktuelle Software-Version lässt sich unter „Einstellungen“ > „Über das Telefon“ > „Build Nummer“ ablesen
Ist Ihre Software-Version niedriger oder gleich der unten genannten gefetteten Versionsnummern, ist Ihr Gerät potentiell betroffen
GS 160: alle Softwareversionen
GS 170: alle Softwareversionen
GS 180: alle Softwareversionen
GS 100: bis zu Version GS100_HW1.0_XXX_V19
GS 270: bis zu Version GIG_GS270_S138
GS 270 plus: bis zu Version GIG_GS270_plus_S139
GS370: bis zu Version GIG_GS370_S128
GS370 plus: bis zu Version GIG_GS370_plus_S128
Deinstallieren Sie die Schadsoftware manuell
Starten Sie das Smartphone
Prüfen Sie, ob Ihr Gerät infiziert ist, indem Sie unter „Einstellungen“ à „App“ prüfen, ob eine oder mehrere der folgenden Apps angezeigt werden:
Gem
Smart
Xiaoan
easenf
Tayase
com.yhn4621.ujm0317
com.wagd.smarter
com.wagd.xiaoan
Sofern Sie eine oder mehrere der oben genannten Apps finden, löschen Sie diese bitte manuell.
Öffnen Sie die Einstellungen (Zahnrad-Icon).
Tippen Sie auf Apps & Benachrichtigungen.
Tippen Sie auf App-Info.
Tippen Sie die gewünschte App an.
Klicken Sie auf den Deinstallieren-Button.
Prüfen Sie nun erneut, ob sämtliche der oben genannten Apps deinstalliert sind. Falls die Apps immer noch vorhanden sind, kontaktieren Sie bitte den Gigaset Service unter +49 (0)2871 912 912 (Zum Festnetztarif Ihres Anbieters).
Sollten keine der genannten Apps mehr installiert sein, empfehlen wir, sämtliche für Ihr Gerät zur Verfügung stehenden Software-Updates durchzuführen.
Wir bitten um Entschuldigung für die entstandenen Unannehmlichkeiten und halten Sie über weitere Entwicklungen informiert.
Gigaset, Manuelle Prüfung und Bereinigung infizierter Smartphones
Zudem betont Gigaset noch einmal, dass ausschließlich ältere Smartphone-Modelle der Baureihen GS100, GS160, GS170, GS180, GS270 (plus) sowie GS370 (plus) betroffen seien.
Nicht betroffen von diesem Vorfall seien die Smartphone-Baureihen GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 und GS4.
Die Redaktion steht weiterhin mit dem Hersteller in Kontakt und wird diese Meldung entsprechend aktualisieren, sollten neue Erkenntnisse vorliegen.
Das Gigaset GS195 und andere Modelle sind von Malware-Angriffen betroffen (Bild: Gigaset)
