Android-телефоны Gigaset заражены вредоносным ПО через взломанный сервер обновлений

/ Наука и технологии / От /

Владельцы телефонов Gigaset Android неоднократно заражались вредоносным ПО с конца марта после того, как злоумышленники взломали сервер обновлений поставщика в результате атаки на цепочку поставок.

Gigaset – немецкий производитель телекоммуникационных устройств, в том числе серии смартфонов под управлением операционной системы Android.

Начиная примерно 27 марта , пользователи неожиданно обнаружили , что их мобильные устройства Gigaset многократно открывать веб – браузеры и показ рекламы для мобильных игровых сайтов.

При проверке запущенных приложений на своем телефоне пользователи обнаружили запущенное неизвестное приложение под названием «easynf», которое при удалении автоматически переустанавливалось.

Согласно немецкому техническому сайту BornCity, приложение easynf было установлено приложением для обновления системы устройства. Другие вредоносные приложения, обнаруженные рядом с ним, включают «gem», «smart» и «xiaoan».

«На каждом из двух затронутых смартфонов было установлено по три вредоносных приложения, которые, к счастью, можно было остановить и удалить без каких-либо проблем, но которые затем неоднократно перезагружались приложением обновления, работающим в фоновом режиме в качестве системного процесса, если приложение обновления не было прервано. вручную после каждого перезапуска: easynf или gem, и в обоих случаях smart и xiaoan », – сказал BornCity читатель .

Пользователи Gigaset загрузили некоторые из этих вредоносных пакетов в VirusTotal [ 1 , 2 ], где они обнаруживаются как рекламное ПО или загрузчики.

С момента начала атаки Malwarebytes поддерживает владельцев Gigaset на их форумах и обнаруживает угрозу как «Android / PUP.Riskware.Autoins.Redstone».

Основываясь на своем исследовании, Malwarebytes заявляет, что приложение «Android / PUP.Riskware.Autoins.Redstone» будет загружать дополнительные вредоносные программы на устройства, которые определяются как «Android / Trojan.Downloader.Agent.WAGD».

Malwarebytes заявляет, что это приложение будет отображать рекламу, устанавливать другие вредоносные приложения и пытаться распространяться через сообщения WhatsApp.

Malwarebytes обнаружил, что эта атака цепочки поставок затрагивает следующие устройства Gigaset Android:

  • Gigaset GS270; ОС Android 8.1.0
  • Gigaset GS160; ОС Android 8.1.0
  • Siemens GS270; ОС Android 8.1.0
  • Siemens GS160; ОС Android 8.1.0
  • Alps P40pro; ОС Android 9.0
  • Альпы S20pro +; ОС Android 10.0

Чтобы предотвратить повторную установку вредоносных пакетов скомпрометированным сервером обновлений Gigaset, пользователь сказал Борну, что им пришлось принудительно отключить приложение обновления устройства с помощью параметров разработчика и adb с помощью следующей команды:

adb shell pm disable-user –user 0 com.redstone.ota.ui

Gigaset подтверждает кибератаку

В разговоре с Gigaset Гюнтеру Борну из BornCity сказали, что один из серверов обновлений компании был взломан и использовался для удаления вредоносных приложений.

«Сервер обновлений, используемый устройствами Gigaset для обновления, был скомпрометирован, поэтому затронутые устройства были заражены вредоносным ПО», – объясняет Борн.

Старший вице-президент Gigaset по корпоративным коммуникациям Рафаэль Дёрр поделился с BleepingComputer следующим заявлением относительно атаки и способов удаления вредоносного ПО:

В ходе рутинных контрольных анализов мы заметили, что некоторые старые смартфоны имеют проблемы с вредоносным ПО. Этот вывод был также подтвержден отдельными клиентами после того, как были сделаны запросы. Мы немедленно начали интенсивное расследование инцидента, тесно сотрудничая с судебными экспертами в области ИТ и ответственными органами. Тем временем мы смогли найти решение проблемы.

Потенциально затронуты только старые модели смартфонов серий GS100, GS160, GS170, GS180, GS270 (plus) и GS370 (plus).

Этот инцидент не затронул модели смартфонов серий GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 и GS4.

По нашим последним данным, заражены были лишь некоторые устройства из затронутых продуктовых линеек. Это касается только устройств, на которых обновления программного обеспечения, предоставленные Gigaset в прошлом, не выполнялись пользователем. Вредоносное ПО было установлено на эти устройства скомпрометированным сервером, принадлежащим внешнему поставщику услуг обновлений.

Компания Gigaset незамедлительно приняла меры и обратилась к поставщику услуг обновлений. Поставщик службы обновлений также принял немедленные меры и подтвердил Gigaset, что заражение смартфонов может быть остановлено 7 апреля.

Приняты меры по автоматическому избавлению зараженных устройств от вредоносного ПО. Для этого устройства должны быть подключены к Интернету (WLAN, WiFi или мобильные данные). Мы также рекомендуем подключать устройства к зарядным устройствам. Зараженные устройства должны быть автоматически освобождены от вредоносного ПО в течение 8 часов.

Кроме того, пользователи могут проверять и очищать свои устройства вручную. Пожалуйста, действуйте следующим образом:

Проверьте, не пострадало ли ваше устройство

  1. Проверьте версию своего программного обеспечения. Текущую версию программного обеспечения можно найти в разделе «Настройки» à «О телефоне» и внизу в разделе «Номер сборки».
  2. Если версия вашего программного обеспечения ниже или равна номерам версий, выделенным жирным шрифтом ниже, ваше устройство потенциально может быть затронуто.
    • GS160 : все версии программного обеспечения
    • GS170 : все версии программного обеспечения
    • GS180 : все версии программного обеспечения
    • GS100 : до версии GS100_HW1.0_XXX_V19
    • GS270 : до версии GIG_GS270_S138
    • GS270 plus : до версии GIG_GS270_plus_S139
    • GS370 : до версии GIG_GS370_S128
    • GS370 plus : до версии GIG_GS370_plus_S128

Удалите вредоносное ПО вручную

  1. Включите смартфон
  2. Проверьте, заражено ли ваше устройство, проверив в разделе «Настройки» à «Приложение», отображается ли одно или несколько из следующих приложений:
    • Драгоценный камень
    • Умный 
    • Сяоань 
    • Асенф 
    • Таясе
    • com.yhn4621.ujm0317
    • com.wagd.smarter 
    • com.wagd.xiaoan
  3. Если вы найдете одно или несколько из указанных выше приложений, удалите их вручную.
    1. Откройте настройки (значок шестеренки).
    2. Нажмите «Приложения и уведомления».
    3. Щелкните Информация о приложении.
    4. Щелкните по желаемому приложению.
    5. Нажмите на кнопку «Удалить».
  4. Теперь еще раз проверьте, все ли вышеперечисленные приложения были удалены. Если приложения все еще присутствуют, обратитесь в службу поддержки Gigaset по телефону +49 (0) 2871912 912 (по тарифу на стационарный телефон вашего провайдера).
  5. Если все упомянутые выше приложения были удалены, мы рекомендуем вам выполнить все обновления программного обеспечения, доступные для вашего устройства.

Приносим извинения за причиненные неудобства и будем держать вас в курсе дальнейших событий.

Источник https://bdroid.ru/

Самые занимательные новости