Malware Angriff auf Gigaset, sämtliche Smartphones lahmgelegt

Seit letzter Woche Freitag tauchen auf vielen Smartphones der ehemaligen Siemens-Tochter Gigaset vermehrt Probleme mit Malware auf. Auf den Smartphones öffneten sich Browserfenster mit Glücksspielwerbung. Facebook-Anmeldungen wurden getätigt, WhatsApp versendete Nachrichten und vieles mehr. Mittlerweile ist bekannt, dass mindestens ein Update-Server von Gigaset gehackt wurde und so die Malware auf die Geräte brachte.

Malware Angriff auf Gigaset Smartphones

In seinem Blog beschreibt Autor Günther Born, wie ihn Leser auf das Problem mit ihren Gigaset Smartphones aufmerksam machten. Auch bei uns im Freundeskreis war der Hilferuf eines Nutzers zu hören, welcher ebenfalls mit unerklärbaren Problemen zu kämpfen hatte. WhatsApp stürzte ab oder versendete Nachrichten, Konten wurden gesperrt, er wurde auf Facebook angemeldet und andere unerklärlich Dinge, wie einen schneller leer werdenden Akku und vieles mehr. Auch im Google Support Forum häuften sich die Anfragen von betroffenen Nutzern.

Es wurde bei allen betroffenen Smartphones eine Easenf App installiert, welches sich auch nach dem Deinstallieren immer wieder erneut installierte. Zusätzlich wurden die Apps

• com.wagd.smarter
• com.wagd.xiaoan
• com.wagd.gem

installiert. Ein Nutzer hat die .apk-Dateien auf Virustotal hochgeladen und das Ergebnis im Google Support geteilt. Hier wurden die Apps als Adware.AndroidOS.BrowserAd.A!c oder ähnlich gelistet.

Es handelt sich dabei um einen Supply-Chain-Angriff, welcher folgende Geräte betrifft:

• Gigaset GS270; Android OS 8.1.0
• Gigaset GS160; Android OS 8.1.0
• Siemens GS270; Android OS 8.1.0
• Siemens GS160; Android OS 8.1.0
• Alpen P40pro; Android OS 9.0
• Alpen S20pro +; Android OS 10.0

Eine offizielle Pressemitteilung von Gigaset wurde im Blog BornCity veröffentlicht:

• Im Rahmen von routinemäßigen Kontrollanalysen ist uns aufgefallen, dass bei einigen älteren Smartphones Probleme mit Schadsoftware aufgetreten sind. Diese Erkenntnis wurde auch durch Anfragen von einzelnen Kunden bestätigt. Wir haben den Vorfall sofort intensiv untersucht und dabei eng mit IT-Forensikern und den zuständigen Behörden zusammengearbeitet. Zwischenzeitlich konnten wir eine Lösung für das Problem identifizieren.
• Potentiell betroffen sind ausschließlich ältere Smartphone-Modelle der Baureihen GS100, GS160, GS170, GS180, GS270 (plus) sowie GS370 (plus).
• Nicht betroffen von diesem Vorfall sind die Smartphone-Baureihen GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 und GS4.
• Nach jetzigem Informationsstand wurden aus den betroffenen Produktlinien nur einige Geräte, bei denen die in der Vergangenheit seitens Gigaset zur Verfügung gestellten Software-Updates nutzerseitig nicht ausgeführt wurden, infiziert. Auf diese Geräte wurde durch einen kompromittierten Server eines externen Update-Service-Providers Schadsoftware aufgespielt.
• Gigaset hat umgehend eingegriffen und Kontakt mit dem Update-Service-Provider aufgenommen. Dieser hat unmittelbare Maßnahmen ergriffen und Gigaset gegenüber bestätigt, dass die Infizierung von Smartphones am 7. April abgestellt werden konnte.

https://www.borncity.com/blog/2021/04/08/kurzinfo-gigaset-pressemitteilung-zum-malware-befall-der-android-gerte-8-4-2021/

Es wurden Maßnahmen getroffen, um infizierte Geräte automatisch von der Schadsoftware zu befreien.

Dazu müssen die Geräte mit dem Internet verbunden sein (WLAN, WiFi oder mobile Daten). Wir empfehlen zudem, die Geräte an das Ladegerät anzuschließen. Betroffene Geräte sollten binnen 8 Stunden automatisch von der Schadsoftware befreit sein.

Alternativ steht Nutzern die manuelle Prüfung und Bereinigung ihrer Geräte zur Verfügung. Gehen Sie hier bitte wie folgt vor:

Prüfen Sie, ob Ihr Gerät betroffen ist

1. Prüfen Sie Ihre Software-Version. Die aktuelle Software-Version lässt sich unter „Einstellungen“ à „Über das Telefon“ unten unter „Build Nummer“ ablesen
2. Ist Ihre Software-Version niedriger oder gleich der unten genannten gefetteten Versionsnummern, ist Ihr Gerät potentiell betroffen

• GS160            alle Softwareversionen
• GS170                 alle Softwareversionen
• GS180                 alle Softwareversionen
• GS100                 bis zu Version GS100_HW1.0_XXX_V19
• GS270                 bis zu Version GIG_GS270_S138
• GS270 plus        bis zu Version GIG_GS270_plus_S139
• GS370                 bis zu Version GIG_GS370_S128
• GS370 plus        bis zu Version GIG_GS370_plus_S128

Deinstallieren Sie die Schadsoftware manuell

1. Starten Sie das Smartphone
2. Prüfen Sie, ob Ihr Gerät infiziert ist, indem Sie unter „Einstellungen“ à „App“ prüfen, ob eine oder mehrere der folgenden Apps angezeigt werden:
   • Gem
   • Smart
   • Xiaoan
   • easenf
   • Tayase
   • com.yhn4621.ujm0317
   • com.wagd.smarter
   • com.wagd.xiaoan

3. Sofern Sie eine oder mehrere der oben genannten Apps finden, löschen Sie diese bitte manuell.
   • Öffnen Sie die Einstellungen (Zahnrad-Icon).
   • Tippen Sie auf Apps & Benachrichtigungen.
   • Tippen Sie auf App-Info.
   • Tippen Sie die gewünschte App an.
   • Klicken Sie auf den Deinstallieren-Button.
4. Prüfen Sie nun erneut, ob sämtliche der oben genannten Apps deinstalliert sind. Falls die Apps immer noch vorhanden sind, kontaktieren Sie bitte den Gigaset Service unter +49 (0)2871 912 912 (Zum Festnetztarif Ihres Anbieters).
5. Sollten keine der genannten Apps mehr installiert sein, empfehlen wir, sämtliche für Ihr Gerät zur Verfügung stehenden Software-Updates durchzuführen.

Die von Gigaset beschriebene Lösung funktioniert jedoch nicht immer. So hat BlogCity sich weitere Gedanken gemacht und festgestellt, dass zum Beispiel nicht alle Schad-Apps in der Gigaset Lösung aufgelistet sind.

• Analyse und Handlungsoptionen Teil 1
• Analyse und Handlungsoptionen Teil 2

Das Ganze lässt sich unter dem Strich auf einen kurzen Nenner bringen: Die infizierten Geräte sind kompromittiert, niemand weiß genau, welches Malware auf den jeweiligen Geräten installiert wurde und noch aktiv ist. Der Versuch, die Malware manuell zu entfernen, gleicht Russisch Roulette: Kann funktionieren, muss aber nicht und kann sogar kräftig schief gehen. Es wäre höchstens unter der Prämisse hilfreich, dass man das Gerät vorläufig säubert, in der Hoffnung, dass das automatische Update das Firmware-Abbild vor der Re-Infektion aktualisieren und so alle Malware entfernt sowie eine Re-Infektion zuverlässig verhindern kann.

https://www.borncity.com/blog/2021/04/08/malwarebefall-von-gigaset-android-gerten-analysen-und-handlungsoptionen-8-4-2021-teil/

Ob also das Bereinigen der betroffenen Gigaset Geräte von Malware per Auto-Update funktioniert wird sich zeigen. Des Weiteren soll die Bereinigung 8 bis 10 Stunden dauern. Während der Bereinigung darf keine SIM-Karte eingelegt sein (ein Hinweis, welcher in der Gigaset Anleitung außen vor gelassen wurde), um einen Versand von SMS- oder WhatsApp Nachrichten über die infizierten Geräte zu unterbinden. Ebenfalls ist unklar, wie es mit entstandenen Kosten durch versendete SMS und ähnliches aussieht.