Gigaset veröffentlicht Reparaturanleitung für befallene Android-Geräte

Gigaset hat erste Details zur Malware-Infektion auf seinen Geräten veröffentlicht, und auch, wie sich diese entfernen lässt. Aber einige Fragen bleiben offen.

In Pocket speichern vorlesen Druckansicht 120 Kommentare lesen

(Bild: Lutsenko_Oleksandr/Shutterstock.com)

Lesezeit: 5 Min.
Von
  • Günter Born
Inhaltsverzeichnis

Gigaset hat nun Hinweise dazu gegeben, wie die vor Ostern von Malware befallenen Geräte repariert werden können. Infizierte Geräte sollen automatisch von der Schadsoftware befreit werden. Dazu müssten die Geräte mit dem Internet verbunden sein (WLAN oder mobile Daten). Es wird empfohlen, die Geräte an das Ladegerät anzuschließen. Innerhalb von 8 Stunden soll es automatisch von der Schadsoftware befreit sein, erläutert Gigaset.

Über einen kompromittierten Update-Server waren diverse Trojaner auf die Smartphones gelangt und hatten dort unterschiedliche Schäden angerichtet. Gigaset hat nach eigenen Angaben umgehend eingegriffen und Kontakt mit dem Update-Service-Provider aufgenommen. Dieser habe unmittelbare Maßnahmen ergriffen und Gigaset gegenüber bestätigt, dass die Infizierung von Smartphones am 7. April abgestellt werden konnte.

Für Betroffene, die keine automatische Reparatur durchführen möchten, gibt Gigaset in seinem Dokument die Schritte an, um das Gerät auf einen Malwarebefall zu prüfen und diese gegebenenfalls manuell zu installieren. Allerdings berichteten Leserinnen und Leser von heise online von erneut wiederkehrenden Schad-Apps. Zudem deutet sich an, dass Gigaset nicht alle bisher beobachteten Schad-Apps in der Liste der zu entfernenden Apps aufgeführt hat.

Aktuell ist auch unklar, inwieweit die automatischen Updates infizierte Gigaset-Geräte zuverlässig vom Malwarebefall säubern können. Zudem dürften viele Betroffene nicht in der Lage sein, den Befall zuverlässig zu erkennen sowie die Säuberung einzuleiten.

Der Hersteller bietet deshalb an, den Gigaset-Service unter +49 (0)2871 912 912 (Zum Festnetztarif des Telefonanbieters) zu kontaktieren. Ob dort aber ein Austausch des Geräts oder eine Erstattung des Kaufpreises für das Gerät angeboten wird, steht zurzeit nicht fest.

Gigaset schreibt, dass nur ein Teil seiner Geräte infiziert worden sei. Potenziell betroffen seien ausschließlich ältere Smartphone-Modelle der Baureihen GS100, GS160, GS170, GS180, GS270 (plus) sowie GS370 (plus). Nicht betroffen von diesem Vorfall sind laut Gigaset die Smartphone-Baureihen GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 und GS4.

Nach Gigasets jetzigen Informationsstand seien aus den genannten Geräteserien nur einige Geräte infiziert worden; und zwar solche, bei denen die Software-Updates nicht ausgeführt wurden. In der Folge sei auf diese Geräte Schadsoftware durch einen kompromittierten Server eines externen Update-Service-Providers aufgespielt worden.

Demnach war es Dritten gelungen, über einen Lieferketten-Angriff die Schadsoftware per Update-Server zu verteilen. Es wird vermutet, dass es ein Update-Server von Redstone war. Unklar bleibt, ob Updates nicht digital signiert wurden oder ob der private Schlüssel zum Signieren von Updates in die Hände Dritter gelangte.

Update-Provider RedStone sollte vermutlich nach einem ersten Malware-Befall 2019 wohl nicht mehr für die Bereitstellung von Updates fungieren oder dessen Funktionen besser abgesichert werden. Das hatte Gigaset durch eine Aktualisierung der Geräte-Firmware angestrebt. Diese Aktualisierung scheint nicht auf allen Geräten erfolgreich durchgeführt worden zu sein.

So konnte ein in der Firmware vorinstalliertes Paket com.redstone.ota.ui als System-App die Verteilung der Malware übernehmen, schildert Malwarebytes. Diese System-App sei aber nicht nur der System-Updater des Mobilgeräts, sondern auch ein Auto-Installer, bekannt als Android/PUP.Riskware.Autoins.Redstone.

In einer technischen Analyse hat Malwarebytes herausgefunden, dass über com.redstone.ota.ui gleich drei Versionen der Malware Android/Trojan.Downloader.Agent.WAGD auf die infizierten Systeme installiert wurden. Der Paketname dieser Malware beginnt immer mit "com.wagd." und wird vom Namen der App (gem, smart, xiaoan) gefolgt.

Die Schadsoftware Android/Trojan.Downloader.Agent.WAGD kann bösartige Nachrichten über WhatsApp versenden, neue Registerkarten im Standard-Webbrowser zu Spiele-Websites öffnen, weitere bösartige Apps herunterladen und möglicherweise andere bösartige Aktionen ausführen. Malwarebytes vermutet, dass die bösartigen WhatsApp-Nachrichten höchstwahrscheinlich dazu dienen, die Infektion auf andere mobile Geräte weiterzuverbreiten.

Über den Downloader wurden also diverse Schad-Apps installiert, vom Crypto-Geld-Miner bis hin zum Trojaner, der bösartige SMS-Nachrichten senden kann, um die Infektion weiterzuverbreiten. Rückmeldungen von Betroffenen legen nahe, dass die Malware Funktionen aufweist, um kostenpflichtige Optionen auf Spieleseiten zu buchen, die erst später mit der Abrechnung des Mobilfunkanbieters bekannt werden. Alles in allem das volle Programm. Ein einmal infiziertes Gerät muss als kompromittiert gelten, denn niemand weiß, welche Malware noch installiert wurde.

Vermutlich sind durch die Trojaner Daten abgeflossen. Betroffene berichten unter anderem von einer Whatsapp-Sperre und nach einer erneuten Freigabe des Kontos, dass sie Whatsapp-Nachrichten aus der ganzen Welt zurückbekommen hätten. Die Telefonnummer der SIM-Karte dürfte daher für Whatsapp sowie den Versand von SMS-Nachrichten "verbrannt sein". Betroffene sollten vorsichtshalber die Kennwörter von Online-Konten an einem nicht infizierten Gerät ändern. Zudem besteht das Risiko, dass die Telefonnummer zukünftig Ziel von Schad-SMS oder -Whatsapp-Nachrichten sein könnte.

Um sich vor durch den Malware-Befall verursachten Kosten abzusichern, sollten Anrufe oder SMS zu teuren Mehrwertdiensten sowie das Buchen von Optionen auf Webseiten beim Provider gesperrt werden. Wurde das betroffene Gerät dienstlich benutzt, ist zudem zu prüfen, ob die zuständige Datenschutzaufsicht binnen 72 Stunden über einen DSGVO-Verstoß zu unterrichten ist.

(kbe)