Gigaset: Malware-Befall von Android-Geräten des Herstellers gibt Rätsel auf

Besitzer von Android-Smartphones von Gigaset kämpfen seit einigen Tagen mit Malware. Mittlerweile wurde ein kompromittierter Update-Server als Quelle bestätigt.

In Pocket speichern vorlesen Druckansicht 230 Kommentare lesen

(Bild: Natashilo/Shutterstock.com)

Update
Lesezeit: 7 Min.
Von
  • Günter Born
Inhaltsverzeichnis

Seit vergangenem Freitag gingen sowohl beim Autor dieses Beitrags als auch bei heise online Hinweise von Smartphone-Besitzern der Firma Gigaset ein, die sich plötzlich mit Schadcode auf ihren Android-Geräten konfrontiert sahen.

Die beschriebenen "Symptome" reichen von der Umleitung zu Glücksspielseiten und das Einblenden von Werbung über Probleme mit WhatsApp bis hin zu Zugriffen auf private Daten und die ungefragte Nachinstallation unerwünschter Apps. Die dauerhafte Entfernung schlug meist fehl. Einiges weist auf einen kompromittierten Gigaset-(Update-)Server als mögliche Schadcode-Quelle hin; ein offizielles Statement der Firma steht bislang aber noch aus.

Update 06.04.21, 18:00 Uhr: Mittlerweile hat die Qualitätssicherungs-Abteilung von Gigaset gegenüber dem Autor dieser Meldung vorab bestätigt, dass ein Update-Server des Unternehmens die Malware ausgeliefert hat. Es waren nur Geräte betroffen, die Updates von diesem Server bezogen haben.

Die Infektion ist laut Gigaset behoben, es werde keine Malware mehr ausgeliefert. Die Analyse dauere aber noch an.

Update 07.04.21, 09:50 Uhr: Inzwischen liegt heise online ein weiteres Statement von Gigaset vor. Nach aktuellem Erkenntnisstand betreffe der Vorfall nur "ältere Geräte" . Man gehe derzeit davon aus, dass die Modelle GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 und GS4 NICHT betroffen sind. Weiterhin gehe man davon aus, "binnen 48 Stunden weitere Erkenntnisse, bzw. eine Lösung des Sachverhalts" anbieten zu können, heißt es in der E-Mail vom gestrigen Dienstagabend.

Sobald weitere Informationen bekannt sind, werden wir diese in einer neuen Meldung zusammenfassen. Den nachfolgenden Meldungstext haben wir vorerst unverändert gelassen; lediglich der Anrisstext wurde entsprechend Gigasets Bestätigung angepasst.

Bisherigen Nutzerberichten zufolge sind verschiedene Android-Smartphone-Modelle von Gigaset von den Vorfällen betroffen. Konkret genannt wurden unter anderem die Modelle GS 170 und 180. Auch im europäischen Ausland gibt es Betroffene mit Gigaset-Geräten. Klar ist aber auch, dass nicht alle Geräte infiziert wurden (oder zumindest keine sichtbaren Symptome aufweisen) . So blieben beispielsweise zwei Testgeräte des Autors, allerdings ohne SIM-Karten, bisher infektionslos; auch berichteten Leser und Besitzer mehrerer GS 180-Geräte von "nur" zwei plötzlich befallenen Geräten.

Neben den eingangs beschriebenen Symptomen beobachten viele Nutzer, dass der Smartphone-Akku binnen kurzer Zeit "leergesaugt" wird. Auch sollen betroffene Geräte sehr langsam reagieren und sich über Nacht in den "Nicht stören"-Modus schalten oder automatisch aktivieren (ein scheinbar ausgeschaltetes Gerät ist wohl nicht heruntergefahren, sondern nur das Display abgeschaltet). Weiterhin berichten Betroffene, die WhatsApp nutzen, durch den Instant Messaging-Dienst gesperrt worden zu sein. Nach Aufhebung der Sperre hätten sie plötzlich Nachrichten von unbekannten Absendern aus Latein-Amerika, Asien und Afrika erhalten. Hinweise darauf, dass die Malware missbräuchlich auf den Dienst und damit verbundene Kontaktdaten zugreift.

Den Kommentaren Betroffener zufolge können folgende installierte Apps (bzw. Paketnamen) und Dienste auf einen möglichen Befall hindeuten. Einen Anspruch auf Vollständigkeit erhebt die Liste allerdings nicht, zumal Betroffene von immer neuen Apps und Diensten berichten, die plötzlich auf den Geräten auftauchen.

Der Anfangsverdacht, dass die (Nicht-)Infektion eines Geräts vom SIM-Kartenanbieter bzw. Mobilfunkprovider abhängt, wurde durch Rückmeldungen Betroffener, die unterschiedliche Mobilfunkanbieter in Europa verwenden, entkräftet.

Gegen eine gezielte Infektion von Gigaset-Geräten über den Browser, eine WhatsApp-Nachricht, einen Link in einer SMS oder eine installierte App als Malware-Quelle spricht unter anderem der Bericht eines Administrators von mehr als 100 Gigaset GS370 Plus-Geräten im Blog des Autors. Die Geräteflotte wird per Mobile Device Management (MDM) verwaltet, die Möglichkeit, Apps zu installieren ist per MDM komplett blockiert. Lediglich das Update der Android-Firmware wurde zugelassen – und dennoch traten Probleme mit Malware auf. Zudem liegt dem Autor eine weitere Rückmeldung eines Administrators vor, der Gigaset-Geräte mit einer einzigen App innerhalb einer Firma betreibt, dort aber auch Infektionen festgestellt hat.

Ein weiterer Betroffener berichtete, die Neuinstallation frisch entfernter Malware auf seinem Gerät dadurch verhindert zu haben, dass er die System-App update.apk über die Android Debug Bridge (ADB) deinstallierte. Insgesamt deuten die Hinweise auf einen infizierten Update-Server bei Gigaset oder aber auf eine (bislang unbemerkte) Kompromittierung ab Werk hin.

Angesichts der möglichen Bedrohung der Besitzer von Gigaset-Geräten hat der Autor dieses Beitrags den Hersteller in der Nacht zum 3. April informiert. Außer einer Rückmeldung des Supports, dass man das Ganze weiter leite, erhielt er bisher keine Antwort. Ein Tweet des Autors an Gigaset mit dem BSI zur Kenntnis wurde von BSI-Präsident Arne Schönbohm damit beantwortet, dass man sich um die "nächsten Schritte" kümmere.

Im Google Support-Forum wiederum hat ein Betroffener berichtet, dass Gigaset ihm gegenüber abgewiegelt habe: "Gigaset hat bereits per eMail (...) behauptet, dass es sich um "Software von Drittanbietern" handeln würde, da das Gerät über die 'SIM-Karte und Google auch mit weiteren Servern verbunden' wäre. Zusätzlich schieben sie es auf WebView-APK, die man updaten sollte. Dann sollte das Problem weg sein."

Ein Fehler an der Android-Systemkomponente WebView hatte vor rund zwei Wochen bei zahlreichen Nutzern für App-Abstürze gesorgt – ein Problem, das allerdings weder Hersteller-spezifisch auftrat noch, soweit bekannt, Malware-Infektionen zur Folge haben konnte.

Versuche Betroffener, die Malware-Infektion über Deinstallation, Zurücksetzen der Geräte und ähnliche Maßnahmen dauerhaft zu entfernen, waren bislang nicht von Erfolg gekrönt. Solange der Hersteller Gigaset nicht alle Details der Infektion offenlegen und sichere Abhilfe schaffen kann oder will, sind die Geräte schlicht als kompromittiert zu betrachten. Administratoren und Datenschutzverantwortlichen in Firmen, die von diesem Vorfall betroffen sind, wird empfohlen, zu prüfen, ob eine vorsorgliche Meldung bei der Datenschutzaufsicht binnen 72 Stunden erforderlich ist.

Der Autor rät Betroffenen, das Gerät bis zur vollständigen Aufklärung der Vorfälle komplett stillzulegen. Also den Akku zu entfernen (sofern möglich), die SIM-Karte entfernen und auch das WLAN-Kennwort am Router zu ändern, um jegliche Kontaktaufnahme mit dem Internet zu verhindern. Die WLAN-Kennwortänderung bezieht sich auf Geräte mit fest verbautem Akku, die zwar scheinbar ausgeschaltet, aber weiter aktiv sind. Weiterhin sollten vorsorglich die Kennwörter aller Online-Konten geändert werden, die in Verbindung auch mit nicht beziehungsweise nicht offensichtlich infizierten Gigaset-Geräten verwendet wurden.

Stillgelegt ist derzeit übrigens auch das vermutlich stark frequentierte Gigaset-Forum – im Zuge von Wartungsarbeiten.

(ovw)