Forum: Haus & Smart Home Viruswarnung Gigaset betroffen


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Dieter D. (Firma: Hobbytheoretiker) (dieter_1234)


Lesenswert?

Schon gelesen, der Server spuckt die Malware aus:
https://www.borncity.com/blog/2021/04/03/gigaset-gehackt-android-update-server-liefern-wohl-malware-aus/
Habe zufälligerweise auch ein solches betroffenes Gerät hier liegen. 
Diese haben anscheinend versucht an den WhatsApp-Account zu kommen. Das 
ging bloß nicht, weil diese SMS gehen an ein anderes Telefon, das nur 
ein ganz dummes altes Mobiltelefon ist.

von Hmmm (Gast)


Lesenswert?

Dieter D. schrieb:
> Habe zufälligerweise auch ein solches betroffenes Gerät hier liegen.

Welches Netz? Nach dem, was man so dazu findet, sind wohl (fast?) nur 
Kunden von E-Plus/O2 betroffen. Das klingt dann eher danach, dass der 
Hack bei denen stattgefunden hat und die Liste der vorinstallierten 
Netzbetreiber-Apps manipuliert wurde.

von Reinhard S. (rezz)


Lesenswert?

Hmmm schrieb:
> Welches Netz? Nach dem, was man so dazu findet, sind wohl (fast?) nur
> Kunden von E-Plus/O2 betroffen. Das klingt dann eher danach, dass der
> Hack bei denen stattgefunden hat und die Liste der vorinstallierten
> Netzbetreiber-Apps manipuliert wurde.

Was voraussetzen würde, das die Geräte bereits bei o2 gekauft wurden. 
Hatten die aber je Gigaset im Angebot?

von Hmmm (Gast)


Lesenswert?

Reinhard S. schrieb:
> Was voraussetzen würde, das die Geräte bereits bei o2 gekauft wurden.
> Hatten die aber je Gigaset im Angebot?

Das im Artikel genannte GS180 wurde offenbar bei Aldi Süd als Paket mit 
einer "Aldi Talk"-SIM-Karte (also O2-Netz) verkauft.

von Diiidie (Gast)


Lesenswert?

In verschiedenen Foren ging es ja schon um diese Gigasets. Die Frage 
falls es über den Netzbetreiber kommen sollte: Warum wird ausnahmslos 
nur von Gigasets und dort auch nicht alle Modelle berichtet? Es wurde 
bisher bspw. noch kein 110er genannt und auch mein 110er ist nach wie 
vor sauber!

In den verschiedenen Berichten ist auch von 2 Schweizer Nutzern gelesen. 
Einer ist bei Sunrise. Weiter habe ich von D1, D2, Vodafon, Netzclub, 
Fonic, AldiTalk und anderen gelesen.

von Dieter D. (Firma: Hobbytheoretiker) (dieter_1234)


Lesenswert?

Das ältere Modell des 110er mit Android 7 ist auch betroffen.

von Hmmm (Gast)


Lesenswert?

Diiidie schrieb:
> Die Frage falls es über den Netzbetreiber kommen sollte: Warum wird
> ausnahmslos nur von Gigasets und dort auch nicht alle Modelle berichtet?

Hersteller nutzen unterschiedliche Wege, um System-Updates 
bereitzustellen. Da von com.redstone.ota.ui die Rede ist, hat Gigaset 
den Updater offenbar bei Redstone in China eingekauft.

Für die Netzbetreiber gibt es ggf. individuelle Anpassungen, das können 
z.B. vorinstallierte System-Apps oder auch automatische 
Play-Store-Installationen bei der Ersteinrichtung sein.

Aber einen Zusammenhang mit dem Netzbetreiber scheint es ja doch nicht 
zu geben.

von Dieter (Gast)


Lesenswert?

Hmmm schrieb:
> Da von com.redstone.ota.ui die Rede ist, hat Gigaset den Updater
> offenbar bei Redstone in China eingekauft.

Wo sitzt dieser in China geographisch - im Osten oder Westen von China?

von Maxe (Gast)


Lesenswert?

In den Kommentare des Eingangslinks berichten viele von Whatsapp, einer 
hat 4 Geraete, nur die 2 mit WA seien betroffen. Spekulation: WA ist das 
Einfallstor und steuert den Updater, der ebenfalls eine 
Sicherheitsluecke aufweist.

von (prx) A. K. (prx)


Lesenswert?

Diiidie schrieb:
> Warum wird ausnahmslos
> nur von Gigasets und dort auch nicht alle Modelle berichtet?

Ein Gerät sucht sich bestimmte Server dafür aus, und das ist je nach 
Modell, Netzwerkanbieter etc ein anderer Server oder ein anderes 
Verzeichnis. Ist einer davon gehackt, sind die anderen nicht betroffen.

: Bearbeitet durch User
von Christian H. (netzwanze) Benutzerseite


Lesenswert?

Angeblich hat Gigaset bestätigt, dass einer ihrer Updateserver Malware 
ausgeliefert hat:

https://www.heise.de/news/Gigaset-Malware-Befall-von-Android-Geraeten-des-Herstellers-gibt-Raetsel-auf-6006464.html

von (prx) A. K. (prx)


Lesenswert?

Mehr dazu auf
https://www.borncity.com/blog/2021/04/07/vorlufige-analyse-des-gigaset-malware-angriffs-durch-auto-installer-in-der-firmware/

"Dieser Auto-Installer ist der System-Updater vieler Android-Mobilgeräte 
aus chinesischer Produktion und auf dem Gerät werksseitig 
vorinstalliert. Sicherheitsforscher bezeichnen das Paket 
com.redstone.ota.ui auch als Android/PUP.Riskware.Autoins.Redstone, also 
als Riskware."

: Bearbeitet durch User
von Marc G. (marcm)


Lesenswert?


von Reinhard S. (rezz)


Lesenswert?


von Dieter D. (Firma: Hobbytheoretiker) (dieter_1234)


Lesenswert?

Anbei noch ein paar Infos zu dem Befall:

Die Malware enthält einen neue Virenvariante namens Malota.b und diese 
sitzt in der System-Datei Rsota.

SMS mit Pins werden 5-10 Minuten verzögert. Mit der Pin vom Impfzentrum 
dauerte es besonders lange. Konnten wohl damit nichts anfangen.

Zum BBQ Browser wären noch zu ergänzen: BasketballShot, Parallel Multi 
Accounts-Multiple Space, Hang Climb Adventure-Grand Mountain, Pocket 
Book Reader-Free EBook Reading, Spinner.io-Fidget Spinner Master, Knote, 
Rhytm Master, Multi Space Pro-Multiple Parallel & Due, Demolition Crew, 
Tap Dungeon Hero:Idle Infinity RPG Game, Color, Hoppy Stacky, Jappy 
Jumping, Relax Music, Idle Space Miner – Idle Cash Mine Simulation, 
Ducky, Happy Stack.

Die gekaperten Geräte dienen als Brücke in die Außenwelt. Glück hat, wer 
die Verbindungsdetails wegen der Kosten einsehen kann. Gespräche nach 
Auslandstarif, d.h. die erste Minute voll, danach in 10s-Einheiten.

In einem Blog stand das bei einem Gerät auch die SIM (SIM mit UICC) noch 
Schadcode transportierte. D.h. es wurde vermutlich auch das UICC 
geschädigt.
https://justaskthales.com/en/what-uicc-and-how-it-different-sim-card/
"It can store your contacts and enables a secure and reliable voice and 
multi-media data connection, global roaming and remotely adds new 
applications and services."

Der Hack scheint länger vorbereitet worden zu sein, als angenommen 
wurde.

von Programmierer (Gast)


Lesenswert?

Es ist allerdings auch schwach von WhatsApp sich so kapern zu lassen. 
Nachinstallierte Apps, auch System-Apps, können nicht andere Apps 
beliebig übernehmen/fernsteuern - da bräuchte es schon ein richtiges 
OTA-Update welches Android selbst modifiziert um die 
Sicherheitsmechanismen außer Kraft zu setzen. WhatsApp muss da explizit 
mitmachen...

von (prx) A. K. (prx)


Lesenswert?

Programmierer schrieb:
> da bräuchte es schon ein richtiges OTA-Update

Was angesichts der ursprüngliche Aussage nicht ausgeschlossen wäre: 
"Mindestens einer der Update-Server für Android Smartphones wurde 
offensichtlich kompromittiert"

: Bearbeitet durch User
von Programmierer (Gast)


Lesenswert?

(prx) A. K. schrieb:
> Was angesichts der ursprüngliche Aussage nicht ausgeschlossen wäre

Richtig, aber es war nur von nachinstallierten Apps die Rede, die sich 
ja auch wieder deinstallieren ließen. Ein OTA-Update das so tief ins 
System eingreift ist ziemlich kompliziert, und braucht Zugriff auf den 
Original Sourcecode und ggf. Images. Das war wohl nicht gegeben.

von Dieter D (Gast)


Lesenswert?

Dieter D. schrieb:
> Zum BBQ Browser wären noch zu ergänzen: BasketballShot, Parallel Multi
> Accounts-Multiple Space, Hang Climb Adventure-Grand Mountain, Pocket
> Book Reader-Free EBook Reading, Spinner.io-Fidget Spinner Master, Knote,
> Rhytm Master, Multi Space Pro-Multiple Parallel & Due, Demolition Crew,
> Tap Dungeon Hero:Idle Infinity RPG Game, Color, Hoppy Stacky, Jappy
> Jumping, Relax Music, Idle Space Miner – Idle Cash Mine Simulation,
> Ducky, Happy Stack.

Parallel Accounts Clone-Multiple Account Space wäre noch zu ergänzen. 
Nachdem Google bei seinem Play Store die Anzeige, welche Apps man unter 
dem Account schon mal installiert hatte, entfernt hat, kann die List 
daher nicht mehr entsprechend fortgesetzt werden.

Unter den Entwickleroptionen war erkennbar, dass einige der verdächtigen 
nachgeladenen Apps über Funktionen des UICC aufgerufen wurden. Daher war 
der Schadcode auch zu gut getarnt.
Von Seiten googles wurden daher viele Apps aus dem Store vor wenigen 
Tagen entfernt.
https://www.trojaner-info.de/mobile-security/aktuell/gestohlene-facebook-logins-google-schmeisst-mehrere-trojaner-apps-raus.html

Am Freitag in der Früh, der Tintendrucker (Brother Multifunktionsteil) 
war vorher abgeschaltet und kein Rechner mit Treiber oder Fähigkeiten 
vorhanden, wollte dieser ein Fax versenden. Bin dabei an das Telefonteil 
gestößen und hörte dann noch etwas. Allerdings hat der Drucker keine 
Verbindung zu einer Telefonleitung. Normalerweise kann parallel zu 
diesem Betrieb nicht kopiert werden, aber hierbei ging das. Jetzt liegt 
das Fax vermutlich im Hauptspeicher und läßt sich nicht auslesen. Beim 
Kopieren gibt es jetzt verschoben, somit quasi verschmierte Buchstaben, 
weil dabei die Werte für den ausgleich des Versatzes beim Doppeldruck 
verloren gingen. D.h. die Botnetz-Gruppe ist in der Lage herauszufinden 
welche Drucker im Netz sind und kann einige Modelle direkt im 
Binary-Bytemodus ansteuern.

von Dieter D (Gast)


Angehängte Dateien:

Lesenswert?

Verbindungen NTP und UDP-Unknown kommen z.B. von dem Botnetz.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.