Infektion: badbox (TELEKOM SICHERHEITSTEAM )

F

Friz Label

New member
Ich habe von meinem Telefon und Internetanbieter TELEKOM SICHERHEITSTEAM eine Email bekommen:

"......
....Auffälligkeiten bei Ihrem Anschluss, Zugangsnummer xxxxx....
Folgende Informationen zu dem Sachverhalt haben wir für Sie:
Zeitpunkt: 06.03.2025 20:06:09 MEZ
Infektion: badbox .......
"
Google brachte mich auf dies Seite:

https://www.bsi.bund.de/DE/Themen/V...-Botnetze/Steckbriefe/BADBOX/badbox_node.html

Wie kann ich das Android Gerät Infektion: badbox Identifizieren?

Leider sind mehrere Geräte in meinem Haus. TV, TVStreamigBox und ein Tablett. Alle 2025 gekauft und Android Betriebssystem.

danke
 
Hi,

als erstes mal: Stimmt die Absende-Mailadresse bzw. ist es eine korrekte Telekom-Mailadresse? Stimmt die Zugangsnummer?

Woran erkenne ich, dass die E-Mail mit einem Sicherheitshinweis wirklich von der Telekom kommt?

Gab es mittlerweile mehrere dieser Mails? Falls nicht, dürfte es wohl eher schwierig werden... ansonsten hätte ich gesagt: Nimm ein Gerät ausser Betrieb und schau, ob die Mails aufhören. Falls nicht, Gerät wieder einschalten und das nächste Gerät ausser Betrieb nehmen.

Auf der anderen Seite werden vermutlich eher Geräte befallen sein, mit welchen man aktiv im Internet unterwegs ist. Ein TV wird dafür wohl eher weniger genutzt, eine Streamingbox (vermutlich) auch eher weniger, womit eigentlich nur noch das Tablet übrig bleibt.

Allerdings heisst es auch:
BADBOX wird während der Produktion oder unmittelbar danach in der Firmware des Geräts installiert. Das Gerät ist bereits infiziert, wenn es den Endkunden erreicht.
Zum Vergrößern anklicken....
Womit man die vorherige Überlegung direkt wieder über den Haufen werfen kann und man theoretisch sagen muss: Alles "könnte" infiziert sein, also sollte auch "alles" ausser Betrieb genommen werden.

Interessant wäre hier wirklich, ob Du häufiger solche Mails bekommst/bekommen hast.

Zudem die Frage: War ggf. zum betroffenen Zeitpunkt eine weitere Partei in Deinem WLAN (z.B. Gast-WLAN)?
 
Wenn da auch noch drinsteht:

Code: 
Halten Sie bitte hierzu die Ticket-Nummer aus dem Betreff und Ihre bei uns hinterlegte IBAN zur Identifizierung bereit

dann aufpassen. Das klingt dann verdächtig nach phishing.
Es gibt aber durchaus tatsächlich ähnliche e-mails von der Telekom. Der Absender ist dann wohl meist "Telekom Sicherheitsteam" <abuse@telekom.de>
Die fragen bei Kontakten dann aber maximal die letzten sechs Stellen der IBAN ab.
 
Ich halte die Email vom TELEKOM SICHERHEITSTEAM für authentisch.


Nach Anfrage beim TELEKOM SICHERHEITSTEAM bekam ich diese Antwort:

"....

| Kundennummer: xxxxxxxx
| Anschlussinhaber: xxxxxx xxxx

Guten Tag xxxxx

danke für Ihre E-Mail vom 29. März 2025. Ich kann Ihren Unmut sehr gut nachvollziehen.

Erhalten wir Sicherheitshinweise (in diesem Fall vom CERT-Bund), sind wir als Telekommunikationsanbieter gesetzlich verpflichtet, Nutzer – sofern sie bekannt sind – unverzüglich über bekannt gewordene Störungen zu informieren, die von IT-Systemen der Nutzer ausgehen.
Unserer gesetzlichen Verpflichtung kommen wir also entsprechend einfach nach.

Welches Ihrer Endgeräte betroffen ist, können wir an dieser Stelle nicht prüfen – tut mir leid.

Grundsätzlich können wir aber mitteilen, dass die folgenden Geräte relativ häufig mit diesem Problem auffällig sind:

95 Android TV (Allwinner H616)
T95
T95Max
X12-Plus
X88-Pro-10
ONN 4K Box
T95Z
Q9
MXQ Pro 5G
J5-W (Tablet)

Ggf. hilft Ihnen das zur Eingrenzung.

Anbei habe ich Ihnen einen Link vom Bundesamt für Sicherheit in der Informationstechnik beigefügt.

https://www.bsi.bund.de/DE/Themen/V...-Botnetze/Steckbriefe/BADBOX/badbox_node.html

Dort finden Sie weitere Informationen zur Schadsoftware Badbox.

Wenn Sie weitere technische Unterstützung wünschen/benötigen, biete ich Ihnen zusätzlich noch unser Produkt „Digital Home Service S“.
Für nur 6,95 Euro / Monat (Mindestvertragslaufzeit 12 Monate) helfen Ihnen unsere Experten/Innen schnell und unkompliziert weiter - per Telefon oder Fernwartung.
Die Kollegen können sich auch auf Ihre genutzten Endgeräte schalten (Remote-Zugang) und Sie so unterstützen.
........."
Ist dass Sorge um die Telekom Kunden oder Werbung für "Digital Home Service S"?
Die Android Geräte verwende ich erst mal nicht.

Wer bekommt ähnliche Mails vom TELEKOM SICHERHEITSTEAM ?
danke
 
Sowas nennt man kundenfreundlich :mad: Da hat man als Provider ein Problem beim Kunden erkannt (die Frage ist wie) und lässt den Kunden im Regen stehen :mad:

Wie wurde das erkannt ?
Wie kann ich den Kandidaten in meinem Netz finden?

Nur ein lapidarer Hinweis dass es da irgendjemand mit einer badbox im lokalen Netz gibt.

Wie ist es mit FalsePosives? Vielleicht hat die TCom ein Problem entdeckt was keines ist?

Alles sehr kundenunfreundlich ... ich bin nicht bei der TCom ...
 
framp schrieb:
Wie wurde das erkannt ?
Zum Vergrößern anklicken....
Na ja, die C2-Server sind wohl teilweise bekannt, wenn also ein Gerät dahin sendet, dann kann der TKom-Anbieter das schon nachvollziehen, aber eben nur bis zum Router. Was hinter dem Router passiert, kann der Anbieter so ohne Weiteres nicht sehen.

Da müßte man vielleicht mit Hilfe eines pihole versuchen, nachzuvollziehen, welche Geräte welche externen Server anzusprechen versuchen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Keine Mitglieder online.
Gesamt: 102 (Mitglieder: 1, Gäste: 101)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
6.524
Beiträge
62.762
Mitglieder
6.734
Neuestes Mitglied
Kayli

Teilen

Zurück
Oben