Gigaset Android-Updateserver wohl mit Malware befallen

[Post-Melone]

Guten Tag,

heute durfte ich meiner Oma dabei helfen ihr Smartphone von Malware zu befreien und Ihr Whatsapp Account zu entsperren.
Über Nacht hat sich wohl Software Installiert, wordurch über Ihr Whatsapp Nachrichten verteilt wurden.

Nach kurzen drüber schauen konnte ich zwei Apps ausfindig machen die nichts auf dem Smartphone zusuchen hatten:
-Smarter
-xiaoan

Nach mehrfachen deinstallieren von diesen Apps und allen Google Apps scheint es jetzt erstmal zu laufen.

Bei Borncity gibt es einen neuen Beitrag dazu der Zeitlich mit meinen Erlebnissen übereinstimmt.

Mit freundlichen Grüßen

Post-Melone

 

[TriggerThumb87]

Bei einem kompromittiertem System hilft kein "Deinstallieren". Das muss neu aufgesetzt werden.

 

[CastorTransport]

Wie kann sich denn "über Nacht" Software installieren? Sind da alle Pakete, auch Playstore-ferne freigegeben?

 

[BenneX]

Ohne dir oder deiner Oma zu nahe treten zu wollen, klingt das eher so, als dass da ein Link per Whatsapp kam und unbedacht angeklickt wurde ...

 

[Post-Melone]

@BenneX Tatsächlich war in keiner der WhatsApp Nachrichten kein Link. Laut dem oben verlinkten Artikel scheint es auch nicht wirklich was mit WhatsApp (oder Facebook) zutun zu haben. Ausserdem müssen die Leute ja an die Nummer gekommen sein, was zwar sein kein, aber im zusammenhang mit den ganzen Vorfällen eher doch mit einer (durch Update eingeschleust) Malware zutun zu haben.

 

[Ltcrusher]

Weiß deine Oma denn, wie man ein Systemupdate macht oder hast du ihr das so eingestellt, daß Updates, die von Gigaset kommen, z.b. Android Updates, etc. automatisch heruntergeladen werden?

Fall nein, liegt die Vermutung von @BenneX nahe. Denn der andere "Update Server" wäre ja der Google Playstore.

Oft klickt man irgendwas an, wenn im Browser etwas angezeigt wird. "Sie haben gewonnen" oder sonstigen Kram. Unbedarfte Nutzer ziehen sich so Malware / Adware rein.

 

[Post-Melone]

@Ltcrusher
Automatische Updates über Nacht, wo es laut ihr dann auch komische Nachrichten über Chrome und Whatsapp gab. Jedoch benutzt sie ihr Smartphone nur für Whatsapp. Eher selten zum Suchen von Sachen. Laut Chronik auch nie auf Komischen Seiten. Jedoch gab es dann auf einmal 50 Tabs mit Gewinnspiel Zeug welche jedoch auch in dem Artikel erwähnt wurden.

 

[Ltcrusher]

Dann würde ich folgendes vorschlagen: wenn das Smartphone frisch aufgesetzt ist, Google Chrome die Berechtigungen entziehen bzw. deaktivieren. Gibt ein paar andere Browser, die für solche Dinge nicht so anfällig sind. Firefox für Android oder den Free Adblock Browser.

Und mit Gigaset ggf. mal Kontakt aufnehmen, ob denen was bekannt ist.

 

[Guy_incognito]

Ich habe ein gigaset zum Spielen zu Hause liegen und mit einer zweitnummer die ich nur beim Shopping angebe. Das Update war das normale in den Einstellungen, ich habe es gemacht und auf einmal war ich bei WhatsApp gesperrt, habe seltsame Apps im Hintergrund und eine andere Startseite im chrome. Ich habe nichts im Browser gemacht vorher, keine Links angeklickt oder sonst was. Da ich gewöhnlich iOS nutze habe ich keine Ahnung wie ich das fixen soll.

 

[Post-Melone]

@TriggerThumb87
Soeben mal ein Factory Reset gemacht und komischerweise waren die Apps sofort wieder da. Frage mich wie die ins System Image kommen.
@Guy_incognito Ich gehe davon aus das man sich erstmal ein anderes Smartphone holen sollte. Weiß nicht wie das noch repariert werden soll wenn ein Factory Reset (btw. Android Menü in Chinesisch) nichts bringt.

 

[Diiidi]

Es ist wirklich erschreckend wie viele hier gleich den Hilfesuchenden oder die Oma mit Vorwürfen überhäufen. Rechte nicht richtig gesetzt, Link angeklickt usw.

Scheinbar hat sich keiner davon mal die Mühe gemacht danach zu suchen oder den Link aus dem ersten Beitrag zu lesen.

Bei Computerfuture, bei Androidpit, im Google Forum und inzwischen wahrscheinlich noch an mehr Stellen wird davon berichtet. Das sind geschätzt 20-30 verschiedene Betroffene die alle EINE GEMEINSAMKEIT HABEN: Smartphones von Gigaset! GS160/170/180/270/270plus/370 werden in den Beiträgen mehrfach genannt.

Und das ist nicht nur eine Gemeinsamkeit sondern ALLE die sich dort als Betroffene schon gemeldet haben, haben AUSSCHLIESSLICH Smartphones der Marke Gigaset. Es ist von Eplus-Nutzern, von O2 usw. die Rede. Also verschiedene Netze (da Gigaset das in einer ersten Reaktion auf den SIM-Provider geschoben hat). Aber es ist bisher kein einziges Smartphone von Samsung, Huawaii, Xiaomi und wie die ganzen anderen Hersteller nacheinander heißen dabei.

Ebenfalls wird mehrfach berichtet dass es nach einem Factory-Reset sofort wieder da ist.

Gigaset ist ja auch kein Unbekannter was das betrifft. Sucht mal nach com.gennie! Damals waren auch die Updateserver vom Hersteller verseucht. Angeblich wegen einem externen Dienstleister vom dem man sich getrennt hätte.

 

[Diiidi]

@Guy_incognito Ich gehe davon aus das man sich erstmal ein anderes Smartphone holen sollte. Weiß nicht wie das noch repariert werden soll wenn ein Factory Reset (btw. Android Menü in Chinesisch) nichts bringt.

Auf jeden Fall beschweren beim Hersteller! Die sollen ein Update rausbringen welches das wieder entfernt. Hat bei com.gennie auch geklappt. Da war nach 2 Wochen oder so ein Update draußen und die Malware war weg vom Fenster.

Ich rufe Dienstag morgen gleich bei Gigaset an. Hoffe das machen möglichst viele. Parallel auch per Kontaktformular kann man ein Support-Ticket aufmachen.

 

[konkretor]

Kann ich bestätigen gerade Notfall Einsatz bei der Schwiegermutter gehabt.

Lauter dreck drauf, Gerät Offline genommen.

Bekommt ein neues Gerät

Das Schlimmste ist Gigaset streitet es ab


War auch ein Gerät von Gigaset

@SV3N wollt ihr da ne News raus hauen?

Ergänzung (5. April 2021)

Hier gibts mehr Infos für betroffene

https://www.borncity.com/blog/2021/...t-android-gertebesitzer-jetzt-machen-sollten/

 

[.Silberfuchs.]

Bin zwar nicht betroffen, aber das ist echt nicht schön was da grad abgeht. Und Gigaset scheint kein Notfall-Team oder so was zu haben um die Update-Server offline zu nehmen. Zumindest juckt das die bisher nicht.

Es sind ja schon fast 200 Kommentare in dem Blog über mehrere Themen verteilt. Da scheint es nicht wenige getroffen zu haben. Da bin ich echt mal gespannt wo genau in der Kette der Angriff erfolgte. Ich hoffe man erfährt bald mehr und die Betroffenen erhalten Unterstützung.

Eben gesehen, das auch golem heute Nachmittag davon berichtet hat. Na wenn die Presse jetzt endlich mal aufspringt macht das hoffentlich Feuer unterm Arsch von Gigaset. Das BSI wurde auch schon von Herrn Born unterrichtet.

 

[_casual_]

Post-Melone

Für den Namen gibts einen Daumen hoch, musste sehr schmunzeln

 

[Shetty74]

@Post-Melone ich hab auch mit dem Mist zu kämpfen .... drei mal Werkseinstellung und der Mist ist immer noch da . Zu den von dir genaten kommen bei mir noch EASENF und GEM . Auch sind holländische Websites und Telefonate aus Utah verzeichnet. Habe ein Gigaset GS 170 das jetzt nur noch im Flugmodus läuft . Chrome ist geblockt. Laut Malwarebytes sitzt der Trojaner im Systemupdate . Frage mich nur warum mein Kaspersky den nicht angezeigt hat . Dank einem nettet Herren in der Gigaset Kundenhotline habe ich für den Onlineshof einen 15 % Code bekommen und mir nun das ganz neue GS4 bestellt. Hoffe ich hab dann wieder Ruhe

 

[Post-Melone]

@Shetty74
Tut mir ja auch sehr leid für dich, aber ich glaube ein 15 Prozent Gutschein im Hauseigenen Shop wäre für mich ein Tritt ins Gesicht. Da bin ich quasi schon etwas fassungslos das dir sowas machen nur um erstmal Ruhe zu haben.

Das Smartphone kannst du erstmal in die Tonne kloppen, denke nicht das es da ein richtiges Update von denen geben wird. Und selbst wenn würde ich denen nicht weiter mit meinen Daten vertrauen.

Ich hoffe mal das du alle weiteren Passwörter die auf dem Gerät waren geändert hast.

Mit freundlichen Grüßen
Die Post-Melone

 

[Mr. Robot]

@Post-Melone ich hab auch mit dem Mist zu kämpfen .... drei mal Werkseinstellung und der Mist ist immer noch da .

Bei einem zurücksetzen auf die Werkseinstellungen werden nur die Userdaten gelöscht. Die Systempartition bleibt dabei unangetastet. Da der Trojaner mit dem Systemupdate aber in genau diese Systempartition geschrieben wurde, bleibt er auch dort. Um den Trojaner richtig zu beseitigen, muss man ein sauberes(!) Image komplett frisch einspielen.

Dank einem nettet Herren in der Gigaset Kundenhotline habe ich für den Onlineshof einen 15 % Code bekommen und mir nun das ganz neue GS4 bestellt. Hoffe ich hab dann wieder Ruhe

Ein Hersteller ist so unfähig, dass er dir einen Trojaner installiert. Und als Reaktion darauf kaufst du noch ein Handy vom gleichen Hersteller?

 

[Shetty74]

@Mr. Robot ich habe seit Jahren Mobilgeräte von gigaset und noch nie Probleme gehabt. Dafür aber schon einiges mit Ulefone . Blackview und auch Wiko erlebt .

 

[Post-Melone]

@Shetty74 ein paar Probleme vs ein Trojaner der einen Account Daten klaut und die WhatsApp und Facebook Accounts nutzt um Schrott weiter zu verteilen. Naja wie man das halt möchte.
Ich persönlich benutze seid 3 Jahren ein Huawei P Smart mit wenig Problemen. Nur ein wenig Performance degradierung.

Rest der Familie hat von Iphone, Samsung bis Xiaomi und Sony. Bis jetzt keine Probleme mit denen gehabt.