Gigaset: Malware-Befall von Android-Geräten des Herstellers gibt Rätsel auf

(Bild: Natashilo/Shutterstock.com)

Besitzer von Android-Smartphones von Gigaset kämpfen seit einigen Tagen mit Malware. Mittlerweile wurde ein kompromittierter Update-Server als Quelle bestätigt.

Seit vergangenem Freitag gingen sowohl beim Autor dieses Beitrags als auch bei heise online Hinweise von Smartphone-Besitzern der Firma Gigaset ein, die sich plötzlich mit Schadcode auf ihren Android-Geräten konfrontiert sahen.

Die beschriebenen "Symptome" reichen von der Umleitung zu Glücksspielseiten und das Einblenden von Werbung über Probleme mit WhatsApp bis hin zu Zugriffen auf private Daten und die ungefragte Nachinstallation unerwünschter Apps. Die dauerhafte Entfernung schlug meist fehl. Einiges weist auf einen kompromittierten Gigaset-(Update-)Server als mögliche Schadcode-Quelle hin; ein offizielles Statement der Firma steht bislang aber noch aus.

Update 06.04.21, 18:00 Uhr: Mittlerweile hat die Qualitätssicherungs-Abteilung von Gigaset gegenüber dem Autor dieser Meldung vorab bestätigt, dass ein Update-Server des Unternehmens die Malware ausgeliefert hat. Es waren nur Geräte betroffen, die Updates von diesem Server bezogen haben.

Die Infektion ist laut Gigaset behoben, es werde keine Malware mehr ausgeliefert. Die Analyse dauere aber noch an. Sobald weitere Informationen bekannt sind, werden wir diese in einer neuen Meldung zusammenfassen. Den nachfolgenden Meldungstext haben wir vorerst unverändert gelassen; lediglich der Anrisstext wurde entsprechend Gigasets Bestätigung angepasst.

Bisherigen Nutzerberichten zufolge sind verschiedene Android-Smartphone-Modelle von Gigaset von den Vorfällen betroffen. Konkret genannt wurden unter anderem die Modelle GS 170 und 180. Auch im europäischen Ausland gibt es Betroffene mit Gigaset-Geräten. Klar ist aber auch, dass nicht alle Geräte infiziert wurden (oder zumindest keine sichtbaren Symptome aufweisen) . So blieben beispielsweise zwei Testgeräte des Autors, allerdings ohne SIM-Karten, bisher infektionslos; auch berichteten Leser und Besitzer mehrerer GS 180-Geräte von "nur" zwei plötzlich befallenen Geräten.

Neben den eingangs beschriebenen Symptomen beobachten viele Nutzer, dass der Smartphone-Akku binnen kurzer Zeit "leergesaugt" wird. Auch sollen betroffene Geräte sehr langsam reagieren und sich über Nacht in den "Nicht stören"-Modus schalten oder automatisch aktivieren (ein scheinbar ausgeschaltetes Gerät ist wohl nicht heruntergefahren, sondern nur das Display abgeschaltet). Weiterhin berichten Betroffene, die WhatsApp nutzen, durch den Instant Messaging-Dienst gesperrt worden zu sein. Nach Aufhebung der Sperre hätten sie plötzlich Nachrichten von unbekannten Absendern aus Latein-Amerika, Asien und Afrika erhalten. Hinweise darauf, dass die Malware missbräuchlich auf den Dienst und damit verbundene Kontaktdaten zugreift.

Den Kommentaren Betroffener zufolge können folgende installierte Apps (bzw. Paketnamen) und Dienste auf einen möglichen Befall hindeuten. Einen Anspruch auf Vollständigkeit erhebt die Liste allerdings nicht, zumal Betroffene von immer neuen Apps und Diensten berichten, die plötzlich auf den Geräten auftauchen.

Der Anfangsverdacht, dass die (Nicht-)Infektion eines Geräts vom SIM-Kartenanbieter bzw. Mobilfunkprovider abhängt, wurde durch Rückmeldungen Betroffener, die unterschiedliche Mobilfunkanbieter in Europa verwenden, entkräftet.

Gegen eine gezielte Infektion von Gigaset-Geräten über den Browser, eine WhatsApp-Nachricht, einen Link in einer SMS oder eine installierte App als Malware-Quelle spricht unter anderem der Bericht eines Administrators [3] von mehr als 100 Gigaset GS370 Plus-Geräten im Blog des Autors. Die Geräteflotte wird per Mobile Device Management (MDM) verwaltet, die Möglichkeit, Apps zu installieren ist per MDM komplett blockiert. Lediglich das Update der Android-Firmware wurde zugelassen – und dennoch traten Probleme mit Malware auf. Zudem liegt dem Autor eine weitere Rückmeldung eines Administrators vor, der Gigaset-Geräte mit einer einzigen App innerhalb einer Firma betreibt, dort aber auch Infektionen festgestellt hat.

Ein weiterer Betroffener berichtete, die Neuinstallation frisch entfernter Malware auf seinem Gerät dadurch verhindert zu haben, dass er die System-App update.apk über die Android Debug Bridge (ADB) deinstallierte. Insgesamt deuten die Hinweise auf einen infizierten Update-Server bei Gigaset oder aber auf eine (bislang unbemerkte) Kompromittierung ab Werk hin.

Angesichts der möglichen Bedrohung der Besitzer von Gigaset-Geräten hat der Autor dieses Beitrags den Hersteller in der Nacht zum 3. April informiert. Außer einer Rückmeldung des Supports, dass man das Ganze weiter leite, erhielt er bisher keine Antwort. Ein Tweet des Autors an Gigaset mit dem BSI zur Kenntnis [4] wurde von BSI-Präsident Arne Schönbohm damit beantwortet, dass man sich um die "nächsten Schritte" kümmere.

Im Google Support-Forum wiederum hat ein Betroffener berichtet, dass Gigaset ihm gegenüber abgewiegelt habe [5]: "Gigaset hat bereits per eMail (...) behauptet, dass es sich um "Software von Drittanbietern" handeln würde, da das Gerät über die 'SIM-Karte und Google auch mit weiteren Servern verbunden' wäre. Zusätzlich schieben sie es auf WebView-APK, die man updaten sollte. Dann sollte das Problem weg sein."

Ein Fehler an der Android-Systemkomponente WebView hatte vor rund zwei Wochen bei zahlreichen Nutzern für App-Abstürze gesorgt [6] – ein Problem, das allerdings weder Hersteller-spezifisch auftrat noch, soweit bekannt, Malware-Infektionen zur Folge haben konnte.

Versuche Betroffener, die Malware-Infektion über Deinstallation, Zurücksetzen der Geräte und ähnliche Maßnahmen dauerhaft zu entfernen, waren bislang nicht von Erfolg gekrönt. Solange der Hersteller Gigaset nicht alle Details der Infektion offenlegen und sichere Abhilfe schaffen kann oder will, sind die Geräte schlicht als kompromittiert zu betrachten. Administratoren und Datenschutzverantwortlichen in Firmen, die von diesem Vorfall betroffen sind, wird empfohlen, zu prüfen, ob eine vorsorgliche Meldung bei der Datenschutzaufsicht binnen 72 Stunden erforderlich ist.

Der Autor rät Betroffenen, das Gerät bis zur vollständigen Aufklärung der Vorfälle komplett stillzulegen. Also den Akku zu entfernen (sofern möglich), die SIM-Karte entfernen und auch das WLAN-Kennwort am Router zu ändern, um jegliche Kontaktaufnahme mit dem Internet zu verhindern. Die WLAN-Kennwortänderung bezieht sich auf Geräte mit fest verbautem Akku, die zwar scheinbar ausgeschaltet, aber weiter aktiv sind. Weiterhin sollten vorsorglich die Kennwörter aller Online-Konten geändert werden, die in Verbindung auch mit nicht beziehungsweise nicht offensichtlich infizierten Gigaset-Geräten verwendet wurden.

Stillgelegt ist derzeit übrigens auch das vermutlich stark frequentierte Gigaset-Forum [7] – im Zuge von Wartungsarbeiten.


URL dieses Artikels:
https://www.heise.de/-6006464

Links in diesem Artikel:
[1] https://www.virustotal.com/gui/file/4395f1d6ba0ae4c512630ecaf367593a6f14c81cb1589173a1c2b8262a474b1c/detection
[2] https://www.virustotal.com/gui/file/9d32f72124e6868a3c06e58a20528b0332fac158a133bd9dff8f052d727befd3/detection
[3] https://www.borncity.com/blog/2021/04/03/gigaset-gehackt-android-update-server-liefern-wohl-malware-aus/#comment-104460
[4] https://twitter.com/etguenni/status/1378492387325059079
[5] https://support.google.com/googleplay/thread/104068125?hl=de&msgid=104565503
[6] https://www.heise.de/news/Android-WebView-brachte-zahlreiche-Apps-zum-Absturz-5995495.html
[7] https://www.gigaset.com/de_de/cms/csp/de/wartungsarbeiten-forum.html
[8] mailto:Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Copyright © 2021 Heise Medien



Read full article on Heise


Registrieren

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.