Gigaset-Smartphones mit Malware befallen
Frohe Ostern „mal anders“ hatten und haben wohl Besitzer von Gigaset-Smartphones. Seit ein paar Jahren hat man auch mehr oder weniger günstige Android-Smartphones im Angebot und zahlreiche Benutzer haben seit ein paar Tagen Probleme mit diesen (z. B. GS170 und GS160). Offenbar bekamen die Geräte ein Update über einen kompromittierten Update-Server und dieses Update hatte Malware huckepack, die u. a. mit folgenden Prozessen läuft:
easenf
com.wagd.smarter
com.wagd.xiaoan oder xiaoan
gem
smart
AppSettings
Tayase
com.yhn4621.ujm0317
BBQ Browser
Unterschiedliche Berichte gibt es, sich selbst öffnende Browserfenster mit Umleitungen zu Glücksspielseiten oder nicht mehr erreichbare WhatsApp- und Facebook-Konten. Eine echte Hilfe gibt es wohl nicht, außer vielleicht schauen, ob ein frisches Aufsetzen des Gigaset-Smartphones etwas hilft – einige der schädlichen Prozesse sind ja bekannt. Obwohl das Thema schon ein paar Tage alt ist, gibt es von Gigaset kein offizielles Statement zum Thema.
Sicher sollte man Freunde, Familie und Bekannte unbedingt auf diesen Umstand hinweisen.
Irgendwie ist mir unklar, wie das passieren kann. Sollten Systemupdates nicht sicher signiert sein?
Und solche Server hat man doch im Monitoring. Wenn die Server plötzlich geänderte Inhalt haben, sollte doch das Monitoring Alarm schlagen, so dann man die Server Offline nehmen kann. Oder besser das Monitoring nimmt die gleich via Killswitch Offline.
Wenn Gigaset wirklich in diesem Ausmaß auf versagt hat, und deren Update Server kompromittiert werden konnten ist der Hersteller erledigt.
Ja, auch die „deutschen“ Gigaset Smartphones sind nur in DE zusammengesetzte Chinaware, mit umgelabelter Chinafirmware, von (sehr wahrscheinlich) chinesischen ungesicherten Servern. Nicht mal alle vorhandenen System-Apps sind da lokalisiert (s. Born Blog).
Wen wundert’s, wir selber kriegen ja bei der Industrie nix mehr ohne China gebacken. Typisch die Nicht-Reaktion bei Gigaset, wie im Born-Blog zu lesen steht. Immerhin gab es schnelle Rückmeldung vom BSI, die haben dazugelernt.
Danke für diesen Artikel. Das Handy meines Sohnes (Gigaset GS 270) ist auch seit kurz vor Ostern befallen. Wir sind ursprünglich auf alle möglichen Gründe gekommen, wo die immer wiederkehrenden Malware-Dateien herkommen könnten, bis uns ein erster Hinweis zu Gigaset selbst führte. Es sind exakt die selben Dateien, die in diesem Artikel benannt werden, die das GS 270 außer Gefecht gesetzt haben. Ein Zurücksetzen auf Werkseinstellungen wirkt nur kurzfristig. Anschließend gehen die Probleme von Neuem los – inklusive Sperrung der Telefonnummer bei WhatsApp und anderen Unannehmlichkeiten. Bei Kontaktaufnahme mit Gigaset habe ich den Link zu diesem Artikel mitgeschickt – und bin auf die Reaktion gespannt.
Im Blog von Herrn Born gibt es dazu neue Infos von Gigaset.
Ach Leute, wenn der Dreck über ein offizielles Systemupdate „an Bord“ gekommen ist, hilft nur ein Versions*downgrade* auf eine älteres Original ROM. Werkseinstellungen löschen natürlich keine Systemsoftware.
Wenn ich mal raten darf, selber flashen ist bei diesem Chinaerzeugnis nicht vorgesehen, und an den Download vom Vorgänger ROM kommt man auch nicht?