Telefony Gigaset zainfekowane przez oficjalny serwer aktualizacji

Telefony Gigaset zainfekowane przez oficjalny serwer aktualizacji

W okolicach 27 marca, właściciele telefonów niemieckiej firmy Gigaset (należącej do Siemensa) zaczęli raportować wyświetlanie się reklam na ich urządzeniach. Smartfony samowolnie otwierały przeglądarkę internetową i ładowały reklamy różnych gier mobilnych.

Za wyświetlanie adware odpowiadała aplikacja "easenf", zainstalowana przez moduł aktualizacji Gigaseta. Na telefonach znalazły się też inne szkodliwe apki: "gem", "smart" oraz "xiaoan". Każdą aplikację można było z łatwością odinstalować, ale usługa aktualizacji automatycznie instalowała je na nowo. Aby pozbyć się aplikacji na dobre, trzeba było wyłączyć tę usługę.

Skan jednej z aplikacji. "Tylko" 23 antywirusy uznały ją za szkodliwą.
Po lewej: usługa aktualizacji, po prawej: malware łaskawie proszące o dostęp do danych użytkownika

Szkodliwe aplikacje oprócz wyświetlania reklam instalują także inne apki oraz próbują rozprzestrzeniać się dalej poprzez WhatsAppa. Ofiarami tego ataku typu supply-chain są telefony:

  • Siemens/Gigaset GS270 i GS160 (Android 8.1)
  • Alps P40pro i S20pro+ (kolejno Andrut 9 i 10)

Jak do tego ataku doszło? Serwer aktualizacji Gigasetu został przejęty przez hackerów i za jego pomocą rozsyłano szkodliwe aplikacje. Tyle. Dziwne, że nie zostało to wykorzystane do wgrania jakiegoś bardziej zaawansowanego trojana, ale to może i lepiej?


Źródło: BleepingComputer