Сервер оновлення Gigaset був скомпрометований. Власникам смартфонів встановлюється шкідливе ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ

Gigaset став жертвою кібератаки, яка надіслала шкідливе та небажане програмне забезпечення зі свого сервера оновлень.

Власники Android-смартфонів німецького виробника Gigaset з кінця березня 2021 року регулярно виявляли шкідливе ПО на своїх пристроях. Як з'ясувалося, зловмисникам вдалося скомпрометувати сервер оновлення компанії.

З 27 березня власники пристроїв Gigaset виявили, що їх смартфони раз у раз відкривають браузер і показують рекламу мобільних ігор. Серед встановлених додатків з'явився якийсь невідомий сутність «easenf», який, за даними Bleeping Computer, вперто перевстановлювався після кожного видалення.

На думку Malwarebytes, перше, що потрібно встановити на смартфон - завантажувач Redstone (Android / PUP. Riskware.Autoins.Redstone; в системі Android він реєструється як системний додаток com.redstone.ota.ui), яке потім завантажує три версії троянського завантажувача Android/Trojan.Downloader.Agent.WAGD - com.wagd.gem, com.wagd.smarter і com.wagd.xiaoan, які вже встановлені в системі як самостійні додатки.

Троян Android/Trojan.SMS.Agent.YHN4 також був встановлений на деяких пристроях; як випливає з назви, він здатний відправляти СМС і використовує це для подальшого його поширення. Варіант трояна WAGD також намагається поширюватися далі, але через повідомлення через WhatsApp, якщо він встановлений в системі.

Malwarebytes вказує на те, що автоматичну установку можна нейтралізувати, перейшовши в режим розробника і набравши наступну команду: adb shell pm disable-user -user 0 com.redstone.ota.ui.

Це деактивує оновлення системи.

Gigaset в ухильному плані підтвердив наявність проблем - але тільки зі старими пристроями.

У публікації Malwarebytes також вказується, що троян Redstone був виявлений не тільки на пристроях Gigaset, але і на деяких моделях смартфонів Siemens (GS270 і GS16, Android 8.1.0) і Alps (P40pro і S20pro+, Android 9.0 і 10.0 відповідно).

Інші новини