Teléfonos Android Gigaset infectados con malware a través del servidor de actualización comprometido


Androide

Los propietarios de teléfonos Gigaset Android han sido infectados repetidamente con malware desde finales de marzo después de que las amenazas comprometieran el servidor de actualización del proveedor en un ataque a la cadena de suministro.

Gigaset es un fabricante alemán de dispositivos de telecomunicaciones, que incluye una serie de teléfonos inteligentes con sistema operativo Android.

A partir de alrededor del 27 de marzo, los usuarios descubrieron de repente que sus dispositivos móviles Gigaset abrían repetidamente navegadores web y mostraban anuncios de sitios de juegos móviles.

Al inspeccionar las aplicaciones que se ejecutan en el teléfono, los usuarios encontraron una aplicación desconocida llamada "easenf" en ejecución, que una vez eliminada, se reinstalaría automáticamente.

Según el sitio de tecnología alemán BornCity, la aplicación easenf se instaló desde la aplicación de actualización del sistema del dispositivo. Otras aplicaciones maliciosas que se encuentran junto a él incluyen "gem", "smart" y "xiaoan".

"Se instalaron tres aplicaciones de malware en cada uno de los dos teléfonos inteligentes afectados, que afortunadamente podrían cerrarse y desinstalarse de manera segura, pero que luego fueron recargadas repetidamente por la aplicación de actualización que se ejecuta en segundo plano como un proceso del sistema, a menos que la aplicación de actualización no se haya terminado manualmente después de cada reinicio: easenf o gem, y en ambos casos smart y xiaoan ", un lector le dijo a BornCity.

Los usuarios de Gigaset han subido algunos de estos paquetes maliciosos a VirusTotal [12], donde se detectan como programas publicitarios o descargadores.

Desde el inicio del ataque, Malwarebytes ha apoyado a los propietarios de Gigaset en sus foros y está detectando la amenaza como "Android / PUP.Riskware.Autoins.Redstone".

Basado en su investigación, Estados de Malwarebytes que la aplicación "Android / PUP.Riskware.Autoins.Redstone" descargará malware adicional en dispositivos detectados como "Android / Trojan.Downloader.Agent.WAGD".

Todas estas cargas útiles secundarias comienzan con el nombre "com.wagd" y se han visto usando la extensión com.wagd.xiaoan, com.wagd.gem, com.wagd.smarter, es com.yhn4621.ujm0317 nombres de paquetes.

Aplicación gema maliciosa instalada en un dispositivo Gigaset
Aplicación gema maliciosa instalada en un dispositivo Gigaset

Malwarebytes afirma que estas aplicaciones mostrarán anuncios, instalarán otras aplicaciones maliciosas e intentarán propagarse a través de los mensajes de WhatsApp.

Malwarebytes ha descubierto que este ataque a la cadena de suministro afecta a los siguientes dispositivos Android de Gigaset:

  • Gigaset GS270; Sistema operativo Android 8.1.0
  • Gigaset GS160; Sistema operativo Android 8.1.0
  • Siemens GS270; Sistema operativo Android 8.1.0
  • Siemens GS160; Sistema operativo Android 8.1.0
  • Alpes P40pro; Sistema operativo Android 9.0
  • Alpes S20pro +; Sistema operativo Android 10.0

Para evitar que se reinstalen paquetes maliciosos desde el servidor de actualización comprometido de Gigaset, un usuario le dijo a Born que tenía que deshabilitar por la fuerza la aplicación de actualización del dispositivo usando las opciones de desarrollador y adb con el siguiente comando:

adb shell pm disable-user –user 0 com.redstone.ota.ui
Índice()

    Gigaset confirma el ciberataque

    En una llamada con Gigaset, a Günter Born de BornCity se le dijo que uno de los servidores de actualización de la compañía había sido comprometido y utilizado para eliminar aplicaciones maliciosas.

    "Un servidor de actualización utilizado por los dispositivos Gigaset para la actualización se vio comprometido, por lo que los dispositivos afectados se infectaron con malware", explica Born.

    La compañía también compartió la siguiente declaración con BornCity:

    "Durante los controles de rutina, notamos que algunos teléfonos inteligentes más antiguos tenían problemas de malware. Este hallazgo también fue confirmado por consultas de clientes individuales.

    Nos tomamos esto muy en serio y estamos trabajando intensamente en una solución a corto plazo para los usuarios afectados.

    Al hacerlo, estamos trabajando en estrecha colaboración con expertos forenses de TI y autoridades pertinentes. Notificaremos a los usuarios afectados lo antes posible y les proporcionaremos información sobre cómo resolver el problema.

    Esperamos poder proporcionar más información y una solución en 48 horas.

    También es importante recordar en este punto que, según los conocimientos actuales, el accidente solo afecta a los dispositivos más antiguos.

    Actualmente asumimos que los dispositivos GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 y GS4 no se ven afectados. "- Gigaset

    BleepingComputer se puso en contacto con Gigaset con más preguntas, pero no recibió respuesta.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir