[Hardware] Vorsicht Gigaset Smartphone User

Uwe Farz · 05.04.21, 22:28

Zitat:

Malwareangriff: Was Gigaset Android-Gerätebesitzer jetzt machen sollten

Seit der Karwoche sehen sich ja zahlreiche Besitzer eines Gigaset Android-Smartphones der Situation gegenüber, dass dort automatisch Malware installiert wird. Noch sind die genauen Folgen unbekannt, aber gesperrte WhatsApp-Konten, gekaperte Facebook-Konten oder Umleitungen auf Glücksspielseiten sind bereits beobachtet wurden. Hier eine kurze Information und Hinweise, was man als Betroffener tun sollte.

Malwareangriff auf Gigaset Android-Geräte

Es gibt ein massives Problem mit Gigaset Android-Geräten, denn zahlreiche Benutzer melden seit der Karwoche (erste Meldungen, die ich gesehen habe, stammen vom 1. April 2021, weitere Meldungen kamen am 2., 3., 4. April 2021 rein) einen Befall der Gerät durch Malware. Es werden automatisch unerwünschte Apps installiert, die ihr Eigenleben auf den Smartphones führen. Die Folgen sind für die Gerätebesitzer gravierend:

Browserfenster öffnen sich urplötzlich mit Werbung oder leiten zu Glücksspielseiten um

WhatsApp-Konten werden (wegen kritischer Aktivitäten) gesperrt

Facebook-Konten werden ggf. komplett übernommen

Möglicherweise werden SMS-Nachrichten automatisch verschickt

Das Gerät geht in den „Nicht stören“-Modus

Das Akku wird schnell leergesaugt

Das Smartphone wird langsam

Ob auch Daten abgezogen werden, ist aktuell unklar. Jedenfalls sollte davon ausgegangen werden, dass die auf dem Gerät gespeicherten Daten kompromittiert sind. Wer dort Banking-Apps oder Online-Konten benutzt hat, muss davon ausgehen, dass deren Anmeldedaten eventuell geklaut wurden. Ich hatte über diesen Sachverhalt ausgiebig im Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus berichtet. Der letzte Sachstand findet sich im Blog-Beitrag Neues zum Gigaset Android-Smartphone Malware-Befall (April 2021).

Bin ich betroffen?

Wenn das Gigaset Smartphone plötzlich ein ungewöhnliches Verhalten zeigt (beim Browsen öffnen sich plötzlich Werbetabs oder man wird umgeleitet, das Akku ist binnen Stunden leer, das Smartphone geht automatisch in den „Nicht stören“-Modus), ist das ein Hinweis auf eine mögliche Infektion. Ob man betroffen ist, kann man an der Liste der installierten Apps und laufenden Systemprozesse herausfinden.

Überprüfen kann man dies, indem man die Einstellungen-App aufruft, auf Apps & Benachrichtigungen tippt und dann den Menüpunkt App-Info wählt. Dann sollten alle installierten Apps aufgelistet werden. Tippt man auf das Drei-Pünktchen-Menü und wählt Systemprozesse anzeigen, werden die Prozesse aufgelistet (siehe obiges Bild). Dann kontrolliert man, ob eine der nachfolgend genannten Apps oder Prozesse dort auftauchen:

easenf
com.wagd.smarter
com.wagd.xiaoan oder xiaoan
gem
smart
AppSettings
Tayase
com.yhn4621.ujm0317
BBQ Browser

Es könnten weitere Apps auftauchen, die man nicht selbst installiert hat. Eine vorläufige Liste findet sich in diesem Kommentar. Wer einen Virenscanner als App installiert hat, dem sollten die verdächtigen Apps gemeldet werden. Die Scanner entfernen aber die Schad-Apps nicht.

Was kann/soll ich als Betroffener tun?

Gibt es den Verdacht oder die Gewissheit, dass die oben erwähnten Schad-Apps installiert sind? Dann ist schnelles Handeln empfohlen. Ein Löschen der Apps oder ein zurücksetzen des Smartphones auf Werksauslieferungszustand scheint nicht wirklich zu helfen. Die Apps werden später automatisch neu installiert und der Malware-Befall startet von vorne.

Erfahrene Nutzer finden im Blog-Beitrag Gigaset Android-Update-Server liefern vermutlich Malware aus samt den Kommentaren Hinweise, wie man dem Problem über den Android Debug Monitor (ADB) zu Leibe rücken und die Malware ggf. deaktivieren kann. Es scheint auch, als ob einzelne Nutzer die Neuinfektion der Geräte bisher verhindern konnten.

Aber: Nicht sonderlich erfahrene Benutzer sind mit der Installation des ADB und der Ausführung der Kommandos, um die update.apk still zu legen, deutlich überfordert. Und für erfahrene Benutzer gilt: Das System ist durch die Malware kompromittiert, also nicht mehr sicher. Ich empfehle allen Betroffenen:
Fahrt das Gigaset Android-Gerät mit dem Malware-Befall herunter und legt das Teil still (falls möglich Akku und SIM-Karte raus). Wartet, bis es von Gigaset – oder hier im Blog – neue Informationen zum Thema und Hinweise auf das Säubern der Geräte gibt.
Anschließend setzt ihr an einem PC oder einem nicht infizierten Smartphone die Zugangsdaten für Online-Konten zurück.
Kontrolliert die ggf. vorgelegten Rechnungen der Mobilfunkanbieter auf ungewöhnliche Aktivitäten (z.B. genutzte Premium-SMS-Dienste)

Das Außerbetrieb-setzen des Geräts halte ich für essentiell – denn niemand kann heute sagen, was die Malware alles macht. Auch die Leute, die meinen, das Gerät von der Malware befreit zu haben, sollten sich vergegenwärtigen, dass das Smartphone kompromittiert ist. Es kann nicht sichergestellt werden, dass nicht noch Schadroutinen im Hintergrund lauern und Daten stehlen oder andere Sauereien veranstalten (siehe auch diesen Kommentar). Es sollte jedem Nutzer klar sein: Auf den heutigen Smartphones sind meist zahlreiche Zugangsdaten, Kontaktdaten, E-Mail-Adressen, Telefonnummern etc. gespeichert – d.h. ihr gefährdet mit eurem Handeln auch die persönlichen Daten von Dritten. Und nur mal angemerkt: Auf einem solchen Gerät wollt ihr weiter Online-Banking, Facebook & Co. machen, die E-Mails abrufen und was weiß ich? Wirklich? Lest euch mal den Kommentar von Marion und die Antwort von Bolko durch …

Sollten Gigaset-Geräte für berufliche Zwecke genutzt werden, ist die datenschutzrechtliche Relevanz des Malware-Befalls zu evaluieren. Es ist eventuell die zuständige Datenschutzaufsicht über einen möglichen DSGVO-Vorfall binnen 72 Stunden zu informieren. Ich spreche diesen Punkt an, da einige Nutzer über gesperrte WhatsApp-Konten berichten – ich gehe also davon aus, dass die Malware auf WhatsApp zugegriffen hat und dann aktiv etwas gepostet hat. Wer WhatsApp auf beruflich genutzten Geräten installiert hat, steht übrigens vor einem weiteren Problem – diese App und der Dienst konnte nicht DSGVO-konform genutzt werden.

Die Änderung der Zugangsdaten der auf dem Smartphone genutzten Online-Konten ist eine Vorsichtsmaßnahme. Diese Änderungen sollten nur auf einem PC oder einem nicht infizierten Gerät erfolgen. Andernfalls besteht die Gefahr, dass die eingegebenen Zugangsdaten abgegriffen und an die Cyber-Kriminellen übertragen wurden.

An dieser Stelle bleibt zu hoffen, dass Gigaset baldmöglich reagiert und genau klärt, was passiert ist, wie man die Geräte wieder flott und Malware-frei bekommt und wie man eine Neuinfektion verhindern kann. Wenn es dumm läuft, ist das Gigaset schlicht ein Totalschaden. Dann sollte das Gerät bei Gigaset als Hersteller reklamiert und Austausch oder Erstattung des Kaufpreises gefordert werden.

Ich ziehe es mal hier rein: Gigaset agiert nach außen zwar als deutscher Hersteller, der angeblich in Deutschland fertigt und hier Arbeitsplätze schafft. Meinen Informationen nach werden in Bocholt Komponenten aus China mit Robotern endmontiert (geringe Fertigungstiefe). Gigaset war mal eine Tochter von Siemens. Aktuell ist Gigaset ist in der Hand des chinesischen Großaktionärs Pan Sutong, der das Ziel verfolgt, chinesische Handys als in Deutschland gefertigt zu etablieren (siehe auch diesen Artikel).

Links im Artikel:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

**Draalz** · 06.04.21, 00:12

Möglicherweise mag auch das Editieren der Onlinekonten mit einem 'sauberen' Smartphone problematisch sein. Gemeinhin synchronisiert sich ein Android Smartphone mit dem Google Konto.
Und wer weiss, was das kompromittierte Smartphone da alles angestellt (hochgeladen) hat. Auf dem 'sauberen' Smartphone sollte man eine Synchronisation dringlichst unterbinden, keine Wiederherstellung zulassen und zuvor unbedingt einen Virenscanner installieren.

Das ist schon ein Stunt, den Upgrade Server eines Smartphone Herstellers zu infiltrieren.

Erinnert mich an einen Virus vor über 20 Jahren, der da hiess CIH Win95. Wenn man keinen Schreibschutz auf seinem BIOS gesetzt hatte, wurde der von diesem Virus unbrauchbar gemacht (gelöscht).

karfingo · 06.04.21, 02:26

... und fängt Kaspersky den ab? Meine Frage als Nixhandyuser.
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
Die Firmengeschichte liest sich echt übel.

acherontia · 06.04.21, 06:00

Dann doch lieber "gleich made in China", da weiß ich von vornherein woran ich bin. Ein Grundmißtrauen sollte immer vorhanden sein.

Uwe Farz · 06.04.21, 18:10

Günter Born hat einen Zwischenstand mit Angaben des Herstellers veröffentlicht:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

karfingo · 07.04.21, 00:19

Uwe, was sind den ältere Geräte?
1 Jahr, 5 Jahre oder noch älter?

Uwe Farz · 07.04.21, 13:18

Im neuesten Beitrag von Günter Born gibt es eine (vorläufige) Analyse und eine Auflistung der betroffenen Gigaset Smartphones:
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]