Gigaset Malware: Hersteller zeigt Teillösung

Gigaset Malware: Hersteller zeigt Teillösung

Nach dem ein Updateserver von Gigaset Malware auf Smartphones gespielt hat, bietet der Hersteller nun eine Lösung zur Beseitigung an – diese funktioniert jedoch nur teilweise.

Nach eigenen Aussagen habe Gigaset im „Rahmen von routinemäßigen Kontrollanalysen“ festgestellt, dass bei „älteren Smartphones Probleme mit Schadsoftware aufgetreten“ seien. Dies wäre durch „Anfragen von einzelnen Kunden“ bestätigt worden.

Mit diesem Märchen müssen wir vorab aufräumen. Denn in Wahrheit hat Maßgebend Günter Born, ein IT-Blogger auf die Thematik hingewiesen.

Nach einem Nichtreagieren von Gigaset informierte Born das BSI, dass „weitere Schritte“ prüfe. Danach kam die Meldung von Gigaset.

Also ist davon auszugehen, dass keine „routinemäßige Kontrollanalyse“ durchgeführt wurde, sondern auf die Meldung der Öffentlichkeit hin geprüft wurde.

Gigaset Malware: Welche Geräte sind betroffen?

Nach Herstellerangaben sind „potenziell ausschließlich ältere Smartphone-Modelle der Baureihen GS100, GS160, GS170, GS180, GS270 (plus) sowie GS370 (plus) betroffen“.

Nicht betroffen von diesem Vorfall seien die Smartphone-Baureihen GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 und GS4.

Wie konnte die Malware installiert werden?

Das ist eine Frage, die Gigaset nicht offen beantwortet. Vage behauptet das Unternehmen, dass die Smartphone-Nutzer „ein zur Verfügung gestelltes Update nicht ausgeführt habe“. Üblicherweise werden Softwareupdates jedoch automatisch installiert. Außer, man deaktiviert sie explizit.

Es folgt eine etwas klarere Aussage von Gigaset: „Auf diese Geräte wurde durch einen kompromittierten Server eines externen Update-Service-Providers Schadsoftware aufgespielt“. Und aus unserer Sicht liegt genau da das Problem. Gigaset nutzt externe Provider zur Bereitstellung von Updates. Bei alten Smartphones war es der Hersteller Redstone, bei den aktuellen Modellen ist es der umstrittene asiatische Anbieter Adups. Es handelt sich dabei um einen Anbieter, der bereits seit Jahren in den Schlagzeilen ist: Zuletzt wurde ein durch den US-Staat subventioniertes Smartphone „Obamaphone“ mit Malware infiziert.

Übrigens gab es bereits 2019 einen Malware-Vorfall im Hause Gigaset, auch da soll der Anbieter Redstone eine Rolle gespielt haben. Und im vergangenen Jahr gibt es Hinweise auf Probleme mit Gigaset-Modellen im türkischsprachigen Raum. Auch dort soll es zu einem Malwarebefall gekommen sein. Diese Informationen können jedoch nicht abschließend bestätigt werden.

Dass Daten abgeflossen sind, ist ebenfalls wahrscheinlich. Dies würde erklären, weshalb nach kurzer Zeit social-media-Profile bei Facebook aber auch Whatsapp-Accounts gesperrt wurden.

Hier wird zwingend empfohlen, nach dem kompletten Reset des Gerätes alle Passwörter zu ändern.

Wie bekomme ich die Malware weg?

Automatische Bereinigung: Es wurden Maßnahmen getroffen, um infizierte Geräte automatisch von der Schadsoftware zu befreien. Dazu müssen die Geräte mit dem Internet verbunden sein (WLAN, WiFi oder mobile Daten). Wir empfehlen zudem, die Geräte an das Ladegerät anzuschließen. Betroffene Geräte sollten binnen 8 Stunden automatisch von ungewünschten Apps befreit sein.

Ab dieser Stelle zitieren wir unkommentiert die Gigaset-Anleitung:

Prüfen Sie, ob Ihr Gerät betroffen ist

1. Prüfen Sie Ihre Software-Version. Die aktuelle Software-Version lässt sich unter „Einstellungen“ à „Über das Telefon“ unten unter „Build Nummer“ ablesen
2. Ist Ihre Software-Version niedriger oder gleich der unten genannten gefetteten Versionsnummern, ist Ihr Gerät potentiell betroffen
   1. GS160                   alle Softwareversionen
   1. GS170                   alle Softwareversionen
   1. GS180                   alle Softwareversionen
   1. GS100                   bis zu Version GS100_HW1.0_XXX_V19
   1. GS270                   bis zu Version GIG_GS270_S138
   1. GS270 plus         bis zu Version GIG_GS270_plus_S139
   1. GS370                   bis zu Version GIG_GS370_S128
   1. GS370 plus         bis zu Version GIG_GS370_plus_S128

Deinstallieren Sie die Schadsoftware manuell

1. Starten Sie das Smartphone
2. Prüfen Sie, ob Ihr Gerät infiziert ist, indem Sie unter „Einstellungen“ à „App“ prüfen, ob eine oder mehrere der folgenden Apps angezeigt werden:
   1. Gem
   1. Smart
   1. Xiaoan
   1. Easenf
   1. Tayase
   1. yhn4621.ujm0317
   1. wagd.smarter
   1. wagd.xiaoan
3. Sofern Sie eine oder mehrere der oben genannten Apps finden, löschen Sie diese bitte manuell.
   1. Öffnen Sie die Einstellungen (Zahnrad-Icon).
   1. Tippen Sie auf Apps & Benachrichtigungen.
   1. Tippen Sie auf App-Info.
   1. Tippen Sie die gewünschte App an.
   1. Klicken Sie auf den Deinstallieren-Button.
   1. Prüfen Sie nun erneut, ob sämtliche der oben genannten Apps deinstalliert sind. Falls die Apps immer noch vorhanden sind, kontaktieren Sie bitte den Gigaset Service unter +49 (0)2871 912 912 (Zum Festnetztarif Ihres Anbieters).
   1. Sollten keine der genannten Apps mehr installiert sein, empfehlen wir, sämtliche für Ihr Gerät zur Verfügung stehenden Software-Updates durchzuführen.

Fehlerhafter Lösungsansatz

Nach unseren Informationen ist der von Gigaset aufgezeigte Lösungsansatz unvollständig. Je nach Gerät werden weitere Schadsoftwares heruntergeladen und installiert. So wurde auf einigen Geräten beispielsweise die Schadsoftware „Android/Trojan.SMS.Agent.YHN4“ gefunden. Auch Crypto-Miner und weitere Schadsoftware wurde offenbar festgestellt.

Problemlösung funktioniert nicht immer

Die her von Gigaset aufgezeigte Lösung funktioniert nicht immer. Es zeigte sich, dass nach der Entfernung innerhalb kürzester Zeit bereits wieder Schadsoftware nachinstalliert wurde.

Aus diesem Grund empfehlen wir dringend einen kompletten Systemreset / Werkseinstellungen. Auch die Daten auf der Speicherkarte könnten kompromittiert sein. Daher wäre es zwingend erforderlich, auch die Speicherkarte zu formatieren – direkt über das Gerät.

Setzen Sie die Karte nicht in andere Geräte ein, um eine Übertragung zu verhindern.

Gigaset Kundenservice

Gigaset bietet über den Kundendienst an, das Gerät zur Analyse einzusenden: „Sollten nach diesem Vorgehen immer noch Probleme auftreten, bieten wir betroffenen Kunden an, sich an den Gigaset Kundendienst zu wenden [Telefon +49 (0)2871 912 912, zum Festnetztarif Ihres Anbieters], um das Gerät für weitere Analysen einzusenden“.

Was ist nun zu tun?

Die Geräte sind definitiv kompromittiert. Daran gibt es nichts zu rütteln. Und, wie bei einem Malwarebefall üblich, ist es von den einzelnen Geräten und ihren Konstellationen abhängig, welche Schadsoftware tatsächlich installiert wurde.

Aus unserer Sicht entspricht die „manuelle Entfernung“ von Malware einem Glückspiel. Es kann funktionieren, muss aber nicht.

Aus diesem Grund raten wir Ihnen zu zwei möglichen Lösungsvorschlägen: Nutzen Sie das Gigaset-Angebot und senden Sie das Gerät zurück, oder, ersetzen Sie es gleich durch ein zeitgemäßes, aktuelles Modell, wie beispielsweise das GS4, welches wir hier getestet haben.

Abschließende Gedanken

Gigaset hat sich leider nur unzureichend über mögliche Datenschutzprobleme geäußert. Es ist bekannt, dass über die kompromittierten Geräte Whatsapp-Nachrichten und SMS versendet wurden. Das bedeutet, dass gerätespezifische Daten transferiert wurden.

Auch wurden über schadhafte Links Optionen auf Glückspiel-Seiten angezeigt. Was wäre, wenn diese beispielsweise über die Telefonrechnung gebucht wurden. Wer kommt für den Schaden auf?

Generell besteht das große Risiko, dass Daten abgeflossen sein könnten. Welche Daten dies sein könnten? Bilder? Systemdaten? Passwörter? Telefonnummern? Kontakte und Mails? Wir wissen es nicht. Es könnte also sein, dass insbesondere Menschen, die das Gerät beruflich nutzen, Kontakt zu den Datenschutzbehörden des zuständigen Bundeslandes aufnehmen müssen.

Seit Jahren prangern wir über unsere Kanäle die Updatepolitik von Gigaset an. Man konzentriert sich auf die Produktion neuer Modelle, mal „Made in Germany“, die dann über chinesische Server aktualisiert werden, mal gleich klassische „Chinabomber“.

Alle Geräte werden mit Android 10 ausgeliefert und teilweise monatealten Updates – zuletzt das GX290 plus, welches mit Android 10 und Februar-Patch ausgeliefert ist. In diesem Jahr wird übrigens Android 12 veröffentlicht.

Aus meiner Sicht gehört eine zwingende Straffung des Sortiments zu den nächsten Aufgaben von Gigaset. Radikal: Nur noch Made in Germany mit eigener Softwareabteilung ohne chinesische Softwarebeteiligung. Dafür halt nur noch auf die Kerngruppe reduziert: Ein Preiswertes Modell bis 200 Euro, ein höherwertiges bis 400, das preiswerte als zusätzliche Seniorenversion und ein Outdoor-Gerät.

Damit würde man vor allem der Nachhaltigkeitsstrategie einen weiteren Schub verleihen, denn diese ständigen Abstufungen im 50 Euro Bereich braucht kein Mensch, sind nicht nachhaltig und produzieren schnellen Elektroschrott.