Automatische Entfernung möglich

Update: Gigaset-Server lädt Schadprogramme auf die eigenen Handys

Uhr
von Coen Kaat und lha, nsa

Auf den Smartphones von Gigaset tummeln sich zurzeit Schadprogramme. Die Malware kam über einen kompromittierten Update-Server auf die Geräte. Der Hersteller sagt nun, wie sich die Schädlinge automatisch entfernen lassen.

Eines der betroffenen Modelle: das Gigaset GS 180. (Source: Gigaset)
Eines der betroffenen Modelle: das Gigaset GS 180. (Source: Gigaset)

Update vom 09.04.2021: Gigaset hat zusätzliche Informationen zum Schädlingsbefall auf gewissen Smartphones des Herstellers veröffentlicht. Das Problem sei im Rahmen von routinemässigen Kontrollanalysen aufgefallen und durch Anfragen einzelner Kunden bestätigt worden, wie es in einem E-Mail des Herstellers an die Redaktion heisst. Gigaset habe daraufhin sofort in Zusammenarbeit mit IT-Forensikern und den zuständigen Behörden untersucht.

Betroffen seien ausschliesslich die älteren Smartphone-Modelle GS 100, GS 160, GS 170, GS 180, GS 270, GS 270 Plus sowie GS 370 und GS 370 Plus. Von diesen Reihen trete das Problem jeweils auch nur auf einigen Geräten auf. Und zwar nur, wenn ein vorheriges Software-Update nutzerseitig nicht ausgeführt wurde.

Diese Geräte erhielten die Schadsoftware durch einen kompromittierten Server eines externen Update-Service-Providers. Seit dem 7. April ist der Server abgestellt und kann auch keine weiteren Geräte mehr infizieren.

Bereits infizierte Geräte können nun automatisch bereinigt werden, wie Gigaset schreibt. Dazu müssen die Handys mit dem Internet verbunden und idealerweise an einem Ladegerät angeschlossen sein. Innert 8 Stunden sollte der Vorgang abgeschlossen und die Malware entfernt sein.

Die Anleitung, wie Sie Ihre Geräte manuell von der Infektion befreien können, finden Sie am Ende dieses Beitrags.

Originalmeldung vom 08.04.2021: Verschiedene Android-Handys des deutschen Herstellers Gigaset werden zurzeit von Schadprogrammen geplagt. Wie Heise berichtet, klagen Nutzer und Nutzerinnen über:

  • Umleitungen zu Glücksspielseiten,

  • Einblendungen von Werbeanzeigen,

  • Zugriffe auf private Daten,

  • die Nachinstallation unerwünschter Apps,

  • sich rasch entladende Akkus,

  • und träge reagierende Geräte.

Zudem seien einige vom Messaging-Dienst Whatsapp gesperrt worden. Als die Sperre aufgehoben wurde, hätten sie plötzlich Nachrichten unbekannter Personen aus Südamerika und Afrika erhalten. Dies sei ein Hinweis darauf, dass die Malware missbräulich auf den Messenging-Dienst und -Kontakte zugreife, schreibt Heise. Versuche, die Geräte zurückzusetzen oder die Schadprogramme dauerhaft zu deinstallieren, waren nicht erfolgreich. Gemäss einem Bericht von The Register wurden die schädlichen Aktualisierungen erstmals am 1. April ausgerollt.

Malware stammt von einem kompromittierten Update-Server

Wie die Malware auf die Geräte kam, war zunächst unklar. Unterdessen bestätigte Gigaset, dass die Schadprogramme über einen kompromittierten Update-Server auf die Handys kamen. Gegenüber Heise lies der Hersteller verlauten, dass lediglich ein einzelner Server betroffen war. Dieser habe auch nur alte Geräte mit Updates gefüttert.

Heise erwähnt in dem Bericht Vorfälle mit den Modellen GS 170 und 180. Gemäss dem Hersteller nicht betroffen sind die Modelle GS 110, GS 185, GS 190, GS 195, GS 195 LS, GS 280, GS 290, GX 290, GX 290 Plus, GX 290 Pro, GS 3 und GS 4.

Die Infektion sei unterdessen behoben und es werde keine Malware mehr ausgeliefert. Der Hersteller arbeite aber noch an einer Lösung und auch die Analyse dauere noch an. Bis alle Informationen bekannt sind, sollten Nutzerinnen und Nutzer von Gigaset-Handys ihre Geräte auf Schadprogramme prüfen und die Smartphones im Zweifelsfall lieber ausschalten und den Akku entfernen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Update: Wie man betroffene Geräte manuell von der Malware befreit

Prüfen Sie, ob Ihr Gerät betroffen ist:

1. Prüfen Sie Ihre Software-Version. Die aktuelle Software-Version lässt sich unter "Einstellungen" → "Über das Telefon" unten unter "Build Nummer" ablesen

2. Ist Ihre Software-Version niedriger oder gleich der unten genannten gefetteten Versionsnummern, ist Ihr Gerät potenziell betroffen

  • GS160 alle Softwareversionen

  • GS170 alle Softwareversionen

  • GS180 alle Softwareversionen

  • GS100 bis zu Version GS100_HW1.0_XXX_V19

  • GS270 bis zu Version GIG_GS270_S138

  • GS270 Plus bis zu Version GIG_GS270_plus_S139

  • GS370 bis zu Version GIG_GS370_S128

  • GS370 Plus bis zu Version GIG_GS370_plus_S128

Deinstallieren Sie die Schadsoftware manuell

1. Starten Sie das Smartphone

2. Prüfen Sie, ob Ihr Gerät infiziert ist, indem Sie unter "Einstellungen" → "App" prüfen, ob eine oder mehrere der folgenden Apps angezeigt werden:

  • Gem

  • Smart

  • Xiaoan

  • easenf

  • Tayase

  • com.yhn4621.ujm0317

  • com.wagd.smarter

  • com.wagd.xiaoan

3. Sofern Sie eine oder mehrere der oben genannten Apps finden, löschen Sie diese bitte manuell.

  • Öffnen Sie die Einstellungen (Zahnrad-Icon).

  • Tippen Sie auf Apps & Benachrichtigungen.

  • Tippen Sie auf App-Info.

  • Tippen Sie die gewünschte App an.

  • Klicken Sie auf den Deinstallieren-Button.

4. Prüfen Sie nun erneut, ob sämtliche der oben genannten Apps deinstalliert sind. Falls die Apps immer noch vorhanden sind, kontaktieren Sie bitte den Gigaset Service.

5. Sollten keine der genannten Apps mehr installiert sein, empfehlen wir, sämtliche für Ihr Gerät zur Verfügung stehenden Software-Updates durchzuführen.

Webcode
DPF8_213021