Tayase, xiaoan, easenf, ... – Malware auf Gigaset-Smartphones

  • 27 Antworten
  • Neuester Beitrag
Diskutiere Tayase, xiaoan, easenf, ... – Malware auf Gigaset-Smartphones im Gigaset Allgemein im Bereich Gigaset Forum.
K

Kukkatto

Erfahrenes Mitglied
Beim Durchgehen der installierten Apps erscheint eine App namens "Tayase"; im Untertitel steht "Version 2021_03_12" und sie belegt "nackt" (d.h. nach Löschung von Cache und Daten) 88.00 kB im internen Speicher. Unter App Details heißt es "App installed from Settings". Die App hatte 96.00 kB Cache und zwischen 9.68 MB Daten belegt. Das Icon ist ein grob schraffiertes Viereck (weiße Diagonallinie von rechts oben nach links unten; 5 linien weiß und 4 dunkelgrau oder schwarz). Eine Google-Suche findet nichts erkennbar brauchbares ...

Was ist das für eine App? Woher kommt sie? Was macht sie? Wozu dient sie?

---

Erster Anhaltspunk (wurde heute morgen noch nicht als Google-Treffer gefunden):
Gigaset Android-Update-Server liefern vermutlich Malware aus

NB: Gerät ist ein Gigaset GS170

Und noch ein Nachtrag: Accustand geht viel rasanter den Bach runter als bislang; und die Bedienung ist massiv träge geworden ...

...

Im Hintergrund kommt: "der Prozeß "com.yhn4621.ujm0317" will Zugriff auf: 1: Photos, Media und Dateien, 2: SMS senden und lesen, 3: Anrufe tätigen" – wurde natürlich alles verweigert; auch die kommt mit "App Details: App installed from Settings". Zwangsstoppen läßt sich diese App nicht; Cache 112 kB; Data 6.07 MB, App 1.14 MB

NB: Geöffnet wird der erstbeste Browser (wollte zuerst Duckduckgo nehmen, nahm aber dann den kleinen Yandex).

Weitere verdächtige resp. üble Apps: gem, smart, xiaoan, easenf, AppSettings; ev. com.inaction ... ob Termux und Connect Bot etwas damit zu tun haben, ist unklar.
 
Zuletzt bearbeitet:
K

Kukkatto

Erfahrenes Mitglied
Danke; interessant (und auffällig – und für die Löschung leicht(er) erkennbar) ist auch, daß die faulen Apps ein anderes Android-Logo aufweisen als die "normalen" System-Apps (zumindest auf dem GS170).

Des weiteren kam am Freitag um 09:44 eine SMS von der Nummer 078 822 42 63 (das dürfte eine Mobilnummer im Salt-Netz (eh. Orange CH) sein). Inhalt: ????####33333333222211 (k.A., ob das in einem Zusammenhang steht)

Das GS170 wird mit Swisscom (SIM1) und Sunrise (SIM2) betrieben (beides Prepaid ohne Datentarif); WA ist nicht installiert – automatische Updates waren und sind deaktiviert (und die wurden nicht erkennbar eingeschaltet, wie das anderswo berichtet wird). Nach dem Einschalten wird sofort der Browser (hier der kleine Yandex-Browser – Chrome war und ist deaktiviert) auf der Website "hastopic.com" geöffnet. Immer wieder wird "Do not disturb" eingeschaltet.

Was beim Gigaset-Gerät auch stört, ist der Zwang zum freischalten der SIM-Karten; es gibt keinen PIN-Override, um mit das Gerät ohne SIM-Karten-Zugriff zu nutzen, wie das mit anderen Geräten geht, bei denen man dann zwar Zugtiff auf das Gerät, aber nicht auf die SIM hat.
 
Zuletzt bearbeitet:
S

stef9000

Fortgeschrittenes Mitglied
Beim GX290 habe ich gerade Mal geschaut und keine von den Malware Apps gefunden.

Letztes Update 2 SIM-Karten (O2 und Vodafone)
Watsapp funktioniert ohne Sperre
 
K

Kukkatto

Erfahrenes Mitglied
Etwas weiteres dürfte noch erwähnenswert sein: seit einigen Tagen hieß es in der Google-Play-Store-App, die "eigenen Dateien" (wo dann die Updates (manuell) installiert werden) seien nicht mehr links in "Hamburger"-Menü, sondern rechts um runden Bollen mit dem Anfangsbuchstaben des Namens. Die Play-Store-Version war jedoch nach wie vor dieselbe wie jene auf einem Samsung A6/A7 (auf denen aber Android 10 läuft). Dies läßt den Verdacht aufkommen, daß es nicht auszuschließen sein könnte, daß die Einstellungen der Play-Store-App oder letztere selbst kompromittiert worden sein könnten.

Nachtrag: jetzt wird etwas weiteres klar: ich hatte die Play-Store-App zwangsgekillt, Cache und Daten gelöscht und die App deaktiviert, womit die alte Version 9.0.xxx reaktiviert wird (aktuell ist 22.xxx) – und diese greift auf die Duckduckgo-App als Browser zurück (und nicht auf den kleinen Yandex, der als Standardbrowser fungiert). Eine erste Suche mit Version 9.0.xxx ergab, daß keine Updates vorhanden seien (und das ging übermäßig lange), und nun ist aber die Play-Store-Version 22.4.25-21 installiert ... da wurde also der Play-Store selbst automatisch upgedatet (möglicherweise, noch bevor ich automatisches updaten ausschalten konnte. Dieser meldet nun auch nach einer Suche "keine Updates gefunden", obwohl ich die "Messages-App" (für SMS) nie upgedatet hatte und sie immer noch in Version 7.5.050 vorhanden ist (die ist inzwischen auch bei einer zweistelligen Versionsnummer).

Und noch ein Nachtrag: das Gerät wurde vor einigen Tagen an einem Morgen automatisch neu gestartet – ohne mein Zutun ...
 
Zuletzt bearbeitet:
Wattsolls

Wattsolls

Super-Moderator & Mediator
Teammitglied
@Kukkatto Das erreichen der eigenen Apps über den Buchstaben hab ich auch auf einem Nicht-Gigaset. Das ist eine blöde Erfindung von Google.
 
K

Kukkatto

Erfahrenes Mitglied
Nun habe ich vorsichtshalber die beiden SIM-Karten in ein anderes Gerät gesteckt und bei diesem zwei anbieterseitig inaktive (verfallene) plaziert (damit ist der Zugriff auf Phone-Log, SMS etc. beider SIM-Karten möglich, aber naütrlich keine aktive Telephoniererei). Interessanterweise geht der Accu nicht mehr dermaßen sichtbar den Bach runter wie zuvor (innert ca. 4h von 100% auf 75%), als zwar zwei aktive SIM-Karten drin waren, diese aber per Einstellung auf inaktiv gesetzt waren, sondern innert 2h nur gerade von 75% auf 73%). NB: nach dem Einschalten war umgehend wieder der Browser (diesmal aber der große (rote) Yandex, nicht der kleine (blaue)) mit der Website "hastopic.com" offen (wurde natürlich gequittet); kurz darauf kam die Meldung "gem" reagiere nicht mehr und sei abgestürzt (was entsprechend mit dem beenden-Befehl erledigt wurde) ...
 
Zuletzt bearbeitet:
UweBo

UweBo

Fortgeschrittenes Mitglied
Konnte auf meinem GX290 auch nichts verdächtiges finden. Nutze es sowieso nur als Motorrad Navi und somit liegt es erstmal ausgeschaltet im Schrank.
 
H

hlm

Fortgeschrittenes Mitglied
Gigaset hat mittlerweile eine Lösung:
Lösung Malware-Angriff Smartphones
Nicht verkneifen kann ich mir folgendes: Ich habe ein GS370-Plus. Das bekam vor etlichen Wochen ein Update auf die Firmware S129. Die enthielt bereits ein Sicherheits-Update, mit dem das Malware-Problem nicht auftrat (siehe Gigaset-Blog, das Problem existierte beim GS-370 nur bis Version 128).
Wer also kein Update durchführt, braucht sich wirklich nicht zu wundern, dass irgendwelche Bugs und Sicherheitsprobleme ungefixt sind. Das ist bei Android nicht anders als bei Windows.
 
K

Kukkatto

Erfahrenes Mitglied
Die Anleitung funktioniert vielleicht an der Oberfläche – aber aus der Welt geschafft ist das Problem damit nicht – und die Update-Server verteilen die Malware immer noch: ich hatte gestern mein GS170 den ganzen Tag zwar eingeschaltet, aber WLAN abgeschaltet (SIM-Karten sind zwei abgelaufene drin, die sich gar nicht mit einem Mobilfunknetz verbinden können) – nachdem ich zuvor die bis anhin bekannten Schädlinge manuell gelöscht hatte. Den ganzen Tag lang passierte nix (auch die Batterie soff nicht mehr ab) – das Zeugs kommt somit von außen. Seit dem mittleren Abend ist WLAN durchgehend wieder eingeschaltet (auch übernacht – also mehr als 8 Stunden) – und heute morgen ist es schon wieder auf „Do not disturb“ gestellt (was ich nicht selbst getan habe) – sowie "com.yhn4621. ujm0317" und "AppSettings" sind heute morgen von neuem installiert. Geht man in die Developer-Options und läßt sich die laufenden Prozesse anzeigen, so erscheint dort "AppSettings" und zeigt den Installationspaketnamen "com.setmktdsings.asmitasmkutapp" …

NB: die Bemerkung von Gigaset "Nach jetzigem Informationsstand wurden aus den betroffenen Produktlinien nur einige Geräte, bei denen die in der Vergangenheit seitens Gigaset zur Verfügung gestellten Software-Updates nutzerseitig nicht ausgeführt wurden, infiziert." ist mehr als nur Schönfärberei, sind doch drei Gerätetypen involviert (GS160/GS170/GS180), für die Gigaset gar keine Firmware ausgeliefert hatte, die mit dem Problem umgehen könnte – was dort ja auch geschrieben steht.
 
Zuletzt bearbeitet:
thomaspan

thomaspan

Experte
Kukkatto schrieb:
NB: die Bemerkung von Gigaset "Nach jetzigem Informationsstand..."
ist ebenso geil dreist wie der verlinkte Einleitungssatz im Post von @hlm

"Im Rahmen von routinemäßigen Kontrollanalysen ist uns aufgefallen, ..."
 
K

Kukkatto

Erfahrenes Mitglied
Seit gestern sind nun folgende Pakete installiert, die zuvor nicht vorhanden waren ...

package:/data/app/com.dolphinstudio.hook-1/base.apk=com.dolphinstudio.hook
package:/data/app/com.dolphinstudio.taiko-1/base.apk=com.dolphinstudio.taiko
package:/data/app/com.loogngames.balance-1/base.apk=com.loogngames.balance
package:/data/app/com.setmktdsings.asmitasmkutapp-2/base.apk=com.setmktdsings.asmitasmkutapp
package:/data/app/com.yhn4621.ujm0317-2/base.apk=com.yhn4621.ujm0317
package:/data/app/com.zyxapps.happyduck-1/base.apk=com.zyxapps.happyduck
package:/data/app/slots.pcg.casino.games.free.android-1/base.apk=slots.pcg.casino.games.free.android

Keines von denen erscheint im App-Drawer ...

Und soeben ist Tayase wieder sowohl in der Liste der installierten Apps (diesmal aber ohne resp. mit blank weißem Icon – es sei denn, man schaut die Speicherbelegung an; da erscheint wieder das schraffierte Viereck), wie auch in der Developer-Liste der laufenden Dienste aufgetaucht ... Prozeß: com.yileiya.ayase ... in der Liste der per adb-platform.-tools installierten Pakete hatte ich es erst übersehen, es erscheint als

package:/data/app/com.yileiya.ayase-2/base.apk=com.yileiya.ayase

Malwarebytes hat nun com.yhn4621.ujm0317, com.yileiya.ayase (Tayase) und com.setmktdsings.asmitasmkutapp (AppSettings) gefunden und entfernt ... den anderen bin ich nun mit dem App Inspector von UBQSoft Tools zu Leibe gerückt; laut diesem waren diese Spiele inaktiv (und erschienen deshalb nicht in der Liste).

App Inspector - Apps on Google Play

Eleganterweise listet der die installierten App nach Installationsdatum absteigend auf ... und hierbei tauchte noch ein weiterer auf: BBQ Browser ...

package:/data/app/com.bbqbar.browser-1/base.apk=com.bbqbar.browser
 
Zuletzt bearbeitet:
M

mark-herzog

Neues Mitglied
Die Kombination aus Kompromittierung des UpdateServers und der nachgeladenen Viren hat neben den beschrieben Umlenkungen der Browser auf Glücksspielseiten und dem Versand von kostenpflichtigen Optionsbestellungen auch die auf den befallenen Geräten genutzen WhatsApp Accounts befallen. Es wurden massenhaft SPAM-Nachrichten versand.



Hier fällt auf, dass es den Hackern möglich war, die interaktive Autorisierung von Zusatzgeräten (z.B. WhatsApp Web) bei der über einen QR-Code ein Ablgleich von Daten zwischen beiden Systemen erforderlich ist, zu umgehen. Ebenfalls umgangen wurde die Funktion, dass bei WhatsApp in der Anwendung auf dem Smartphone die derart autorisierten Geräte angezeigt und dort auch wieder deaktiviert werden können. Von welchem Gerät auch immer die SPAM-Nachrichten versendet wurden,- es wurde NICHT ANGEZEIGT.



Dies legt den Verdacht nahe, dass die Hacker auch nach Durchführung der Sicherungsmaßnahmen wie sie jetzt hier beschrieben werden, noch über Datenkombinationen zu den WhatsApp Konten verfügen, die den Missbrauch auch weiterhin und OHNE DIE KOMPROMITTIERTE - oder nicht mehr kompromittierte - HARDWARE ZU NUTZEN, fortsetzen können.



Daher de Frage: Welche Kommunikation gibt es zwischen dem Gigaset Support und Whatsapp, um a) das Vertrauen, dass die Nutzer durch den Mißbrauch unverschuldet verloren haben wieder herzustellen, - die Konten sind derzeit DAUERHAFT gesperrt - und b) um sicher zu stellen, dass der oben geäusserte Verdacht unbegründet ist?
 
K

Kukkatto

Erfahrenes Mitglied
Ja, hab's gesehen – und dort was gepostet (das aber noch nicht freigeschaltet ist) ... aber das ist inzwischen ohnehin wieder überholt, denn die Entfernung der Apps mit App Inspector reicht nicht – vor einer Stunde hatte ich WLAN wieder eingeschaltet – und soeben festgestellt, daß das "do not disturb"- Symbol wieder aufgetaucht ist – und die Apps Tayase (um 20:04), AppSettings (um 20:59), BBQ Browser (um 21:03), eine namenlose App um 21:04 (com.sixmonkeys.tap.heero.idle.rpg.game) und Happy Jump (20:08) wieder installiert wurden. Mindestens letzteres sei über den Google Play Store installationspfad gekommen ... Hab' nun mal diesen wieder deaktiviert, so daß die uralte Version wieder da ist, und bei meinem Konto das Passwort geändert – damit der nicht verbinden kann .... mal schauen, wie's weitergeht ...

Ach: und die Update-Server sind also noch immer nicht abgeschaltet ...

Einige Stunden später ... vor einigen Minuten habe ich nun das Google-Konto wieder korrekt eingegeben – u.a. auch, um wieder einen kleinen Browser zu installieren (wiederum Yandex Lite), um überhaupt die "about"-Seite des Play Stores ansehen zu können. Und nach wenigen Minuten erscheint wieder unaufgefordert die Seite "hastopic.com" .... Na gut – dann eben wieder Cache und Daten für den kleinen Yandex löschen ... mal schauen, wann das nochmal kommt ...

... und heute morgen wird wiederum der Browser nach hastopic.com umgelenkt – und um 07:36 wurde com.inaction installiert – das gehört also ebenso ins gleiche Kapitel

package:/data/app/com.miku.zcoup.app4-2/base.apk=com.miku.zcoup.app4

Googelt man letzteres (com.miku.zcoup.app4), erscheinen Treffer über die Manga-Figur Hatsune Miku ... also auch wieder perfide Tarnung.

NB: bis dahin hatte ich Redstone manuell auf "disabled" gestellt – dennoch wurde die Malware ausgeliefert.
 
Zuletzt bearbeitet: