Malwareschleuder Gigaset: Spuren beim Schadcode-Rätsel (Update)

Plötzlich taucht auf einigen Smartphones von Gigaset Schadcode auf, wo die Malware-Welle ihren Anfang nahm, bleibt aber auch Tage nach der ersten Flut weitgehend ungeklärt. Gigaset nimmt Stellung und auch externe Experten sind dem Ursprung langsam auf der Spur.

Update vom 7. April: Wie der IT-Experte Günter Born in seinem Blog berichtet, äußerte sich Gigaset telefonisch zur Sachlage und veröffentlichte abseits davon ein offizielles Statement. Unter anderem sollen dabei folgende Punkte bestätigt worden sein:

Es ist nur ein Teil der Geräte vom Malware-Befall betroffen - (Geräte, die über einen bestimmten Update-Server beliefert werden).
Es war ein Update-Server, der von Gigaset-Geräten zur Aktualisierung benutzt wird, kompromittiert, so dass die betreffenden Geräte durch Malware befallen wurden.
Dieser Kompromittierung des Update-Servers ist nach aktuellem Kenntnisstand wohl behoben, so dass keine Malware mehr neu installiert wird.

Woher kommt der Schadcode auf Gigaset-Geräten? Eine echte Spurensuche Am Wochenende konnten wir darüber berichten, dass Nutzer von Gigaset-Smartphones seit Freitag vermehrt Probleme mit Malware vermelden - Günter Born hatte in einem Blogbeitrag entsprechende Forenmeldungen zusammengetragen. Die Folgen für Nutzer reichen vom automatischen App-Download über Werbeeinblendungen durch Adware bis hin zum Zugriff auf sensible Daten und Apps wie WhatsApp. Darüber hinaus kann auch die Geräteleistung und die Akkulaufzeit bei infizierten Geräten beeinträchtigt sein.

Diese weitreichenden und kritischen Sicherheitsprobleme hat Gigaset auch Tage nach den ersten Nutzer-Berichten bisher nicht öffentlich kommentiert, das offizielle Support-Forum ist aktuell wegen "Wartungsarbeiten" auf unbestimmte Zeit offline. Wie heise schreibt, haben externe Experten bei der schwierigen Spurensuche jetzt aber wohl genügend Hinweise entdeckt, um zumindest einen ersten Rückschluss auf den Ursprung der Malware-Welle ziehen zu können.

Folgende Hinweise werden aktuell im Gigaset-Schadcode-Fall verfolgt:

Da betroffene Nutzer unterschiedliche Mobilfunkanbieter in Europa nutzen, ist eine Verbindung mit SIM-Karten- und Mobilfunk-Providern unwahrscheinlich
Der Bericht eines Administrators spricht gegen eine Infektion über den Browser, einen Link in einer Nachricht oder über installierte Apps. Dieser hatte Probleme vermeldet, obwohl die von ihm verwalteten über 100 Gigaset GS370 Plus-Geräte auf Android-Firmware-Updates beschränkt waren. heise zitiert einen weiteren Administrator, dessen Geräte-Flotte ebenfalls infiziert wurde, obwohl diese mit einer Beschränkung auf eine App betrieben wurden.
Zu guter Letzt war es Betroffenen möglich, durch eine Deinstallation der System-App update.apk über die Android Debug Bridge (ADB) eine Neuinstallation von Schadcode und Software zu verhindern.

Nimmt man all diese Hinweise zusammen, ergeben sich bisher nach Meinung von Experten wohl zwei Szenarien, die für das Schadcode-Chaos verantwortlich sein könnten - beide würden für den Hersteller echte Hiobsbotschaften bedeuten. So ist es aktuell gut vorstellbar, dass bei Gigaset ein Update-Server infiziert wurde, mindestens ebenso kritischer wäre für den Hersteller eine "Kompromittierung ab Werk".

Geräte nicht mehr nutzen

Nach einem Hinweis hat das zuständige BSI bisher nur mitgeteilt, dass das Lagezentrum sich um "die nächsten Schritte" kümmern werde. Gigaset selbst macht auch weiterhin keine Andeutungen, ob und wie man gedenkt, über die weitreichende Infektionswelle zu informieren. Und so bleibt für Betroffene ohne komplexe eigene Maßnahmen bis zu einer endgültigen Klärung wohl nur ein guter Rat: komplette Stilllegung der Geräte.

Offizielles Statement von Gigaset

Im Rahmen von routinemäßigen Kontrollanalysen ist uns aufgefallen, dass bei einigen älteren Smartphones Probleme mit Schadsoftware aufgetreten sind. Diese Erkenntnis wurde auch durch Anfragen von einzelnen Kunden bestätigt.

Wir nehmen das Thema sehr ernst und arbeiten intensiv an einer kurzfristigen Lösung für die betroffenen Nutzer.

Dabei arbeiten wir eng mit IT-Forensikern und den zuständigen Behörden zusammen. Wir werden die betroffenen Nutzer schnellstmöglich informieren und Informationen zur Lösung des Problems bereitstellen.

Wir gehen davon aus, dass wir binnen 48 Stunden weitere Erkenntnisse, bzw. eine Lösung des Sachverhalts anbieten können.

Wichtig ist an dieser Stelle auch zu erwähnen, dass nach aktuellem Kenntnisstand der Vorfall nur ältere Geräte betrifft.

Wir gehen derzeit davon aus, dass die Geräte GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 und GS4 nicht betroffen sind.

Derzeit beliebte Smartphones in unserem Preisvergleich:

Mehr zum Thema Android-Malware:

Sicherheit, Sicherheitslücke, Hacker, Security, Patch, Malware, Angriff, Hack, Kriminalität, Virus, Attacke, Schadsoftware, Exploit, Cybercrime, Cybersecurity, Hackerangriff, Hacking, Internetkriminalität, Warnung, Sicherheitslücken, Darknet, Hacker Angriffe, Hacker Angriff, Hacken, Sicherheitsupdate, Attack, Kurs, Hacks, Crime, anti-malware, Sicherheitslösung, Schädling, Cyberwar, Risiko, Spyware, Malware Warnung, Cyberangriff, Sicherheitsrisiko, Sicherheitsproblem, Cyberattacke, Achtung, Attantion, Malware Found, Warning

Diese Nachricht empfehlen

Kommentieren8

Weitere Nachrichten zum Thema Joker-Malware infiziert über eine halbe Million Huawei-SmartphonesMalwareschleuder Gigaset: Unternehmen startet automatische Abhilfe