Malware-Angriff: Gigaset bietet zwei Lösungen an

Sven Bauduin
240 Kommentare
Malware-Angriff: Gigaset bietet zwei Lösungen an
Bild: Gigaset

Immer mehr Nutzer melden mit Malware infizierte Smartphones von Gigaset, die nach einem Update Schadsoftware verteilen. Der Update-Server des Herstellers steht im Verdacht den Schadcode unbemerkt einzuschleusen. Auch ComputerBase-Leser sind von dem Problem betroffen gewesen.

Malware-Angriffe auf Smartphones von Gigaset

Als Erster berichtete Günther Born auf der Website Borns IT- und Windows-Blog am 3. April über das merkwürdige Verhalten von Smartphones des Unternehmens Gigaset, das sich in plötzlich öffnenden Browser-Fenstern mit dubioser Werbung oder Weiterleitungen zu Glücksspielseiten äußert. Auch im Google-Support-Forum beschrieben Besitzer des Gigaset GS185 und Gigaset GS195 dieses Problem.

Kurz darauf meldeten sich auch die ComputerBase-Community-Mitglieder „Post-Melone“ und „konkretor“ im ComputerBase-Forum zu Wort, die beide ebenfalls indirekt von dem Problem betroffen sind. Das Mobilfunknetz spielt dabei keine Rolle, Smartphones mit SIM-Karten von E-Plus, O2, Vodafone und der Deutschen Telekom sind gleichermaßen betroffen.

Malware soll per Update verteilt werden

Günter Born hat in der Zwischenzeit einen entsprechenden Leitfaden für betroffene Nutzer veröffentlicht und den Update-Server des deutschen Herstellers als Ursprung des Malware ausgemacht.

Die betroffene Smartphones verraten sich bisweilen auch durch eine schnellere Entladung des Akkus und gesperrte WhatsApp-Konten, wie Beiträge im Forum von Malwarebytes zeigen. Es wird empfohlen die betroffenen Smartphones stillzulegen, bis Gigaset eine entsprechende Lösung für das Problem liefert. Auch Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik, hat sich bereits zu Wort gemeldet und das Lagezentrum des BSI informiert.

Die Redaktion dankt Community-Mitgliedern „konkretor“ und „knoXxi“ für ihre Hinweise zu dieser Meldung.

Update 06.04.2021 17:39 Uhr

Gigaset äußert sich zum aktuellen Stand

Wie Günther Born in einem Update auf seiner Website Borns IT- und Windows-Blog berichtet, hat er in der Zwischenzeit ein Telefonat mit der Qualitätssicherung des Herstellers Gigaset führen und ein wenig Licht ins Dunkle bringen können.

Aktuell sei der folgende Sachstand, nach Untersuchungen durch Gigaset, weitgehend gesichert:

  • Es ist nur ein Teil der Geräte vom Malware-Befall betroffen – (Geräte, die über einen bestimmten Update-Server beliefert werden).
  • Es war ein Update-Server, der von Gigaset-Geräten zur Aktualisierung benutzt wird, kompromittiert, so dass die betreffenden Geräte durch Malware befallen wurden.
  • Dieser Kompromittierung des Update-Servers ist nach aktuellem Kenntnisstand wohl behoben, so das keine Malware mehr neu installiert wird.
Günther Born, Borns IT- und Windows-Blog

Nutzer, die ausschließen können, dass ihre Smartphones betroffen sind, können diese unter Vorbehalt wieder benutzen. Auch deute sich an, dass der Hersteller betroffene Smartphones demnächst per Update säubern kann, so Born weiter.

Untersuchungen stehen kurz vor dem Abschluss

Gigaset wolle sich morgen am 7. April noch einmal außführlich zu dem Sachverhält äußern, sobald die Untersuchungen abgeschlossen seien. In der Zwischenzeit haben auch das BSI und der CERT-BUND weitere Maßnahmen ergriffen und untersuchen den Malware-Angriff im Detail.

Wer Samples kompromittierter System-Apps hat, möge die bitte an folgende Mail-Adresse schicken: samples@eset.com – bitte CC an aryeh.goretsky@eset.com. Aryeh Goretsky hat mir signalisiert, dass jemand aus deren Team CERT-BUND und ggf. auch CH kontaktiert, sobald genaueres vorliegt.

Günther Born, Borns IT- und Windows-Blog
Das Support-Forum von Gigaset ist zurzeit offline
Das Support-Forum von Gigaset ist zurzeit offline (Bild: ComputerBase-Forum)

Das Support-Forum des Herstellers ist derweil wegen Wartungsarbeiten offline genommen worden, wie Community-Mitglied „konkretor“ berichtet hat.

Die Redaktion dankt Community-Mitglied „.Silberfuchs.“ für den Hinweis zu diesem Update.

Update 06.04.2021 19:24 Uhr

Erste offizielle Stellungnahme seitens Gigaset

In der Zwischenzeit hat sich auch Gigaset mit einer ersten offiziellen Stellungnahme an die Redaktion gewandt und geht davon aus, innerhalb von 48 Stunden neue Erkenntnisse liefern zu können. Der Hersteller arbeite an einer „kurzfristigen Lösung“ für die betroffenen Nutzer.

Im Rahmen von routinemäßigen Kontrollanalysen ist uns aufgefallen, dass bei einigen älteren Smartphones Probleme mit Schadsoftware aufgetreten sind. Diese Erkenntnis wurde auch durch Anfragen von einzelnen Kunden bestätigt.

Wir nehmen das Thema sehr ernst und arbeiten intensiv an einer kurzfristigen Lösung für die betroffenen Nutzer.

Dabei arbeiten wir eng mit IT-Forensikern und den zuständigen Behörden zusammen. Wir werden die betroffenen Nutzer schnellstmöglich informieren und Informationen zur Lösung des Problems bereitstellen.

Wir gehen davon aus, dass wir binnen 48 Stunden weitere Erkenntnisse, bzw. eine Lösung des Sachverhalts anbieten können.

Gigaset

Der Hersteller geht nach aktuellem Stand der Dinge zudem davon aus, dass ausschließlich ältere Modelle von dem Malware-Angriff betroffen sind.

Wir gehen derzeit davon aus, dass die Geräte GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 und GS4 nicht betroffen sind.

Gigaset

Die Redaktion steht im direkten Kontakt mit Gigaset und wird an dieser Stelle weitere Details veröffentlichen, sobald der Hersteller sich erneut zu dem Sachverhalt äußert und eine mögliche Lösung präsentiert.

Update 07.04.2021 21:13 Uhr

Feedback aus der Community

Nachdem sich Gigaset noch einmal mit der Redaktion in Kontakt gesetzt und dieser mitgeteilt hat, dass die Untersuchungen zur Stunde noch andauern, gibt es neue Informationen zu den Schadprogrammen, die auf den betroffenen Smartphones gefunden wurden.

Durch Hinweise aus der Community des ComputerBase-Forums hat die Redaktion erfahren, dass vor allem die Modelle Gigaset GS 170 und Gigaset GS 180 mit Malware befallen sind.

Die folgenden Schadprogramme und Hintergrunddienste werden dabei immer wieder von Nutzern gemeldet:

  • com.wagd.smarter
  • com.wagd.xiaoan
  • BBQ Browser
  • AppSettings
  • easenf
  • Tayase
  • smart
  • gem

Die Redaktion steht im Austausch mit Gigaset und nimmt weitere Hinweise der ComputerBase-Leser jederzeit gerne an.

Update 08.04.2021 18:46 Uhr

Gigaset äußert sich ausführlich und bietet Lösungen an

In der Zwischenzeit hat sich Gigaset erneut mit der Redaktion in Verbindung gesetzt und sich ausführlich zum Sachverhalt geäußert.

Der Hersteller betont, „aus aktueller Sicht eine Lösung für die Kunden anbieten zu können“ und infizierte Geräte automatisch von der Schadsoftware zu befreien.

Gigaset habe „umgehend eingegriffen und Kontakt mit dem Update-Service-Provider aufgenommen“. Der Provider habe daraufhin „unmittelbare Maßnahmen ergriffen“ und Gigaset gegenüber bestätigt, dass die Infizierung von Smartphones am 7. April abgestellt werden konnte.

Um die infizierten Smartphones automatisch von der Schadsoftware zu befreien, müssen die Geräte mit dem Internet verbunden sein. Gigaset empfiehlt zudem, die Geräte an das Ladegerät anzuschließen. Betroffene Geräte sollten binnen 8 Stunden automatisch von den Schadprogrammen befreit sein.

Zudem liefert der Hersteller auch einen manuellen Lösungsansatz, der vom Nutzer selbst durchzuführen ist.

Prüfen Sie, ob Ihr Gerät betroffen ist
  • Prüfen Sie Ihre Software-Version. Die aktuelle Software-Version lässt sich unter „Einstellungen“ > „Über das Telefon“ > „Build Nummer“ ablesen
  • Ist Ihre Software-Version niedriger oder gleich der unten genannten gefetteten Versionsnummern, ist Ihr Gerät potentiell betroffen
    • GS 160: alle Softwareversionen
    • GS 170: alle Softwareversionen
    • GS 180: alle Softwareversionen
    • GS 100: bis zu Version GS100_HW1.0_XXX_V19
    • GS 270: bis zu Version GIG_GS270_S138
    • GS 270 plus: bis zu Version GIG_GS270_plus_S139
    • GS370: bis zu Version GIG_GS370_S128
    • GS370 plus: bis zu Version GIG_GS370_plus_S128
Deinstallieren Sie die Schadsoftware manuell
  • Starten Sie das Smartphone
  • Prüfen Sie, ob Ihr Gerät infiziert ist, indem Sie unter „Einstellungen“ à „App“ prüfen, ob eine oder mehrere der folgenden Apps angezeigt werden:
    • Gem
    • Smart
    • Xiaoan
    • easenf
    • Tayase
    • com.yhn4621.ujm0317
    • com.wagd.smarter
    • com.wagd.xiaoan
  • Sofern Sie eine oder mehrere der oben genannten Apps finden, löschen Sie diese bitte manuell.
    • Öffnen Sie die Einstellungen (Zahnrad-Icon).
    • Tippen Sie auf Apps & Benachrichtigungen.
    • Tippen Sie auf App-Info.
    • Tippen Sie die gewünschte App an.
    • Klicken Sie auf den Deinstallieren-Button.
  • Prüfen Sie nun erneut, ob sämtliche der oben genannten Apps deinstalliert sind. Falls die Apps immer noch vorhanden sind, kontaktieren Sie bitte den Gigaset Service unter +49 (0)2871 912 912 (Zum Festnetztarif Ihres Anbieters).
  • Sollten keine der genannten Apps mehr installiert sein, empfehlen wir, sämtliche für Ihr Gerät zur Verfügung stehenden Software-Updates durchzuführen.

Wir bitten um Entschuldigung für die entstandenen Unannehmlichkeiten und halten Sie über weitere Entwicklungen informiert.

Gigaset, Manuelle Prüfung und Bereinigung infizierter Smartphones

Zudem betont Gigaset noch einmal, dass ausschließlich ältere Smartphone-Modelle der Baureihen GS100, GS160, GS170, GS180, GS270 (plus) sowie GS370 (plus) betroffen seien.

Nicht betroffen von diesem Vorfall seien die Smartphone-Baureihen GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 und GS4.

Die Redaktion steht weiterhin mit dem Hersteller in Kontakt und wird diese Meldung entsprechend aktualisieren, sollten neue Erkenntnisse vorliegen.