Schon gelesen, der Server spuckt die Malware aus: https://www.borncity.com/blog/2021/04/03/gigaset-gehackt-android-update-server-liefern-wohl-malware-aus/ Habe zufälligerweise auch ein solches betroffenes Gerät hier liegen. Diese haben anscheinend versucht an den WhatsApp-Account zu kommen. Das ging bloß nicht, weil diese SMS gehen an ein anderes Telefon, das nur ein ganz dummes altes Mobiltelefon ist.
Dieter D. schrieb: > Habe zufälligerweise auch ein solches betroffenes Gerät hier liegen. Welches Netz? Nach dem, was man so dazu findet, sind wohl (fast?) nur Kunden von E-Plus/O2 betroffen. Das klingt dann eher danach, dass der Hack bei denen stattgefunden hat und die Liste der vorinstallierten Netzbetreiber-Apps manipuliert wurde.
Hmmm schrieb: > Welches Netz? Nach dem, was man so dazu findet, sind wohl (fast?) nur > Kunden von E-Plus/O2 betroffen. Das klingt dann eher danach, dass der > Hack bei denen stattgefunden hat und die Liste der vorinstallierten > Netzbetreiber-Apps manipuliert wurde. Was voraussetzen würde, das die Geräte bereits bei o2 gekauft wurden. Hatten die aber je Gigaset im Angebot?
Reinhard S. schrieb: > Was voraussetzen würde, das die Geräte bereits bei o2 gekauft wurden. > Hatten die aber je Gigaset im Angebot? Das im Artikel genannte GS180 wurde offenbar bei Aldi Süd als Paket mit einer "Aldi Talk"-SIM-Karte (also O2-Netz) verkauft.
In verschiedenen Foren ging es ja schon um diese Gigasets. Die Frage falls es über den Netzbetreiber kommen sollte: Warum wird ausnahmslos nur von Gigasets und dort auch nicht alle Modelle berichtet? Es wurde bisher bspw. noch kein 110er genannt und auch mein 110er ist nach wie vor sauber! In den verschiedenen Berichten ist auch von 2 Schweizer Nutzern gelesen. Einer ist bei Sunrise. Weiter habe ich von D1, D2, Vodafon, Netzclub, Fonic, AldiTalk und anderen gelesen.
Diiidie schrieb: > Die Frage falls es über den Netzbetreiber kommen sollte: Warum wird > ausnahmslos nur von Gigasets und dort auch nicht alle Modelle berichtet? Hersteller nutzen unterschiedliche Wege, um System-Updates bereitzustellen. Da von com.redstone.ota.ui die Rede ist, hat Gigaset den Updater offenbar bei Redstone in China eingekauft. Für die Netzbetreiber gibt es ggf. individuelle Anpassungen, das können z.B. vorinstallierte System-Apps oder auch automatische Play-Store-Installationen bei der Ersteinrichtung sein. Aber einen Zusammenhang mit dem Netzbetreiber scheint es ja doch nicht zu geben.
Hmmm schrieb: > Da von com.redstone.ota.ui die Rede ist, hat Gigaset den Updater > offenbar bei Redstone in China eingekauft. Wo sitzt dieser in China geographisch - im Osten oder Westen von China?
In den Kommentare des Eingangslinks berichten viele von Whatsapp, einer hat 4 Geraete, nur die 2 mit WA seien betroffen. Spekulation: WA ist das Einfallstor und steuert den Updater, der ebenfalls eine Sicherheitsluecke aufweist.
Diiidie schrieb: > Warum wird ausnahmslos > nur von Gigasets und dort auch nicht alle Modelle berichtet? Ein Gerät sucht sich bestimmte Server dafür aus, und das ist je nach Modell, Netzwerkanbieter etc ein anderer Server oder ein anderes Verzeichnis. Ist einer davon gehackt, sind die anderen nicht betroffen.
:
Bearbeitet durch User
Angeblich hat Gigaset bestätigt, dass einer ihrer Updateserver Malware ausgeliefert hat: https://www.heise.de/news/Gigaset-Malware-Befall-von-Android-Geraeten-des-Herstellers-gibt-Raetsel-auf-6006464.html
Mehr dazu auf https://www.borncity.com/blog/2021/04/07/vorlufige-analyse-des-gigaset-malware-angriffs-durch-auto-installer-in-der-firmware/ "Dieser Auto-Installer ist der System-Updater vieler Android-Mobilgeräte aus chinesischer Produktion und auf dem Gerät werksseitig vorinstalliert. Sicherheitsforscher bezeichnen das Paket com.redstone.ota.ui auch als Android/PUP.Riskware.Autoins.Redstone, also als Riskware."
:
Bearbeitet durch User
Hossa die Waldfee... https://www.heise.de/amp/news/Gigaset-veroeffentlicht-Reparaturanleitung-fuer-befallene-Android-Geraete-6009728.html
Marc G. schrieb: > Hossa die Waldfee... > > https://www.heise.de/amp/news/Gigaset-veroeffentlicht-Reparaturanleitung-fuer-befallene-Android-Geraete-6009728.html Nicht schlecht.
Anbei noch ein paar Infos zu dem Befall: Die Malware enthält einen neue Virenvariante namens Malota.b und diese sitzt in der System-Datei Rsota. SMS mit Pins werden 5-10 Minuten verzögert. Mit der Pin vom Impfzentrum dauerte es besonders lange. Konnten wohl damit nichts anfangen. Zum BBQ Browser wären noch zu ergänzen: BasketballShot, Parallel Multi Accounts-Multiple Space, Hang Climb Adventure-Grand Mountain, Pocket Book Reader-Free EBook Reading, Spinner.io-Fidget Spinner Master, Knote, Rhytm Master, Multi Space Pro-Multiple Parallel & Due, Demolition Crew, Tap Dungeon Hero:Idle Infinity RPG Game, Color, Hoppy Stacky, Jappy Jumping, Relax Music, Idle Space Miner – Idle Cash Mine Simulation, Ducky, Happy Stack. Die gekaperten Geräte dienen als Brücke in die Außenwelt. Glück hat, wer die Verbindungsdetails wegen der Kosten einsehen kann. Gespräche nach Auslandstarif, d.h. die erste Minute voll, danach in 10s-Einheiten. In einem Blog stand das bei einem Gerät auch die SIM (SIM mit UICC) noch Schadcode transportierte. D.h. es wurde vermutlich auch das UICC geschädigt. https://justaskthales.com/en/what-uicc-and-how-it-different-sim-card/ "It can store your contacts and enables a secure and reliable voice and multi-media data connection, global roaming and remotely adds new applications and services." Der Hack scheint länger vorbereitet worden zu sein, als angenommen wurde.
Es ist allerdings auch schwach von WhatsApp sich so kapern zu lassen. Nachinstallierte Apps, auch System-Apps, können nicht andere Apps beliebig übernehmen/fernsteuern - da bräuchte es schon ein richtiges OTA-Update welches Android selbst modifiziert um die Sicherheitsmechanismen außer Kraft zu setzen. WhatsApp muss da explizit mitmachen...
Programmierer schrieb: > da bräuchte es schon ein richtiges OTA-Update Was angesichts der ursprüngliche Aussage nicht ausgeschlossen wäre: "Mindestens einer der Update-Server für Android Smartphones wurde offensichtlich kompromittiert"
:
Bearbeitet durch User
(prx) A. K. schrieb: > Was angesichts der ursprüngliche Aussage nicht ausgeschlossen wäre Richtig, aber es war nur von nachinstallierten Apps die Rede, die sich ja auch wieder deinstallieren ließen. Ein OTA-Update das so tief ins System eingreift ist ziemlich kompliziert, und braucht Zugriff auf den Original Sourcecode und ggf. Images. Das war wohl nicht gegeben.
Dieter D. schrieb: > Zum BBQ Browser wären noch zu ergänzen: BasketballShot, Parallel Multi > Accounts-Multiple Space, Hang Climb Adventure-Grand Mountain, Pocket > Book Reader-Free EBook Reading, Spinner.io-Fidget Spinner Master, Knote, > Rhytm Master, Multi Space Pro-Multiple Parallel & Due, Demolition Crew, > Tap Dungeon Hero:Idle Infinity RPG Game, Color, Hoppy Stacky, Jappy > Jumping, Relax Music, Idle Space Miner – Idle Cash Mine Simulation, > Ducky, Happy Stack. Parallel Accounts Clone-Multiple Account Space wäre noch zu ergänzen. Nachdem Google bei seinem Play Store die Anzeige, welche Apps man unter dem Account schon mal installiert hatte, entfernt hat, kann die List daher nicht mehr entsprechend fortgesetzt werden. Unter den Entwickleroptionen war erkennbar, dass einige der verdächtigen nachgeladenen Apps über Funktionen des UICC aufgerufen wurden. Daher war der Schadcode auch zu gut getarnt. Von Seiten googles wurden daher viele Apps aus dem Store vor wenigen Tagen entfernt. https://www.trojaner-info.de/mobile-security/aktuell/gestohlene-facebook-logins-google-schmeisst-mehrere-trojaner-apps-raus.html Am Freitag in der Früh, der Tintendrucker (Brother Multifunktionsteil) war vorher abgeschaltet und kein Rechner mit Treiber oder Fähigkeiten vorhanden, wollte dieser ein Fax versenden. Bin dabei an das Telefonteil gestößen und hörte dann noch etwas. Allerdings hat der Drucker keine Verbindung zu einer Telefonleitung. Normalerweise kann parallel zu diesem Betrieb nicht kopiert werden, aber hierbei ging das. Jetzt liegt das Fax vermutlich im Hauptspeicher und läßt sich nicht auslesen. Beim Kopieren gibt es jetzt verschoben, somit quasi verschmierte Buchstaben, weil dabei die Werte für den ausgleich des Versatzes beim Doppeldruck verloren gingen. D.h. die Botnetz-Gruppe ist in der Lage herauszufinden welche Drucker im Netz sind und kann einige Modelle direkt im Binary-Bytemodus ansteuern.
Angehängte Dateien:
Verbindungen NTP und UDP-Unknown kommen z.B. von dem Botnetz.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.