W okolicach 27 marca, właściciele telefonów niemieckiej firmy Gigaset (należącej do Siemensa) zaczęli raportować wyświetlanie się reklam na ich urządzeniach. Smartfony samowolnie otwierały przeglądarkę internetową i ładowały reklamy różnych gier mobilnych.
Za wyświetlanie adware odpowiadała aplikacja "easenf", zainstalowana przez moduł aktualizacji Gigaseta. Na telefonach znalazły się też inne szkodliwe apki: "gem", "smart" oraz "xiaoan". Każdą aplikację można było z łatwością odinstalować, ale usługa aktualizacji automatycznie instalowała je na nowo. Aby pozbyć się aplikacji na dobre, trzeba było wyłączyć tę usługę.
Szkodliwe aplikacje oprócz wyświetlania reklam instalują także inne apki oraz próbują rozprzestrzeniać się dalej poprzez WhatsAppa. Ofiarami tego ataku typu supply-chain są telefony:
- Siemens/Gigaset GS270 i GS160 (Android 8.1)
- Alps P40pro i S20pro+ (kolejno Andrut 9 i 10)
Jak do tego ataku doszło? Serwer aktualizacji Gigasetu został przejęty przez hackerów i za jego pomocą rozsyłano szkodliwe aplikacje. Tyle. Dziwne, że nie zostało to wykorzystane do wgrania jakiegoś bardziej zaawansowanego trojana, ale to może i lepiej?
Źródło: BleepingComputer