Fabricante do Android Gigaset injeta malware em celulares

Fabricante do Android Gigaset injeta malware em celulares, por meio de atualização envenenada. Outro ataque à cadeia de suprimentos? O software desagradável também ‘persiste após uma redefinição de fábrica.

Os smartphones Android da Gigaset foram infectados por malware direto do fabricante no que parece ser um ataque à cadeia de suprimentos.

Embora o Gigaset não seja tão conhecido e popular no Brasil, esta notícia nos liga o alerta sobre outras infecções que podem surgir envolvendo fabricantes e toda a cadeia de suprimentos, tornando ainda mais importante o controle de terceiros e a segurança em todas a cadeia produtiva.

O Trojan, uma vez baixado e instalado no dispositivo da vítima por meio de uma atualização de software envenenada do fornecedor, é capaz de abrir janelas do navegador, buscar mais aplicativos maliciosos e enviar mensagens de texto para espalhar ainda mais o malware, dizem pesquisadores e usuários.

As atualizações maliciosas foram semeadas em 1º de abril, a julgar por relatórios da Alemanha.

O site Heise Online também relataram a onda de infecções, cujos perpetradores não haviam sido identificados até o momento. O Heise observou que: “A remoção permanente geralmente falha“, o que significa que é difícil remover o software persistente desagradável, acrescentando que o “departamento de garantia de qualidade” da Gigaset confirmou “que o servidor de atualização da empresa entregou o malware.”

Gigaset disse ao site de notícias que o incidente afeta apenas “dispositivos mais antigos” e que fornecerá mais detalhes em breve. Os usuários que acessarem os fóruns da empresa descobrirão que estão, ou estavam,” em manutenção ” no momento em que este texto foi escrito pelo The Register, .

A empresa com sede em Munique era anteriormente conhecida como Siemens Home and Office Communications Devices, de acordo com Malwarebytes . O antivírus biz identificou duas das cepas de malware provenientes do Gigaset como Android / Trojan.Downloader.Agent.WAGD e Android / Trojan.SMS.Agent.YHN4.

O vetor de ataque é um aplicativo de atualização do sistema, identificado como com.redstone.ota.ui. Nathan Collier de Malwarebytes especulou em um post que criminosos comprometeram os servidores de atualização do Gigaset para distribuir os cavalos de Tróia, um cenário que o relatório de Heise – e este tópico de suporte do Google – tende a confirmar.

Um método de desinstalação razoavelmente complicado que limpa o malware com sucesso está disponível no link (se você não estiver familiarizado com o trabalho de linha de comando, provavelmente não é para você).

Um post no blog corporativo em língua alemã da Gigaset publicado ontem falou longamente sobre como os criminosos,  comprometeram um hospital graças a “um ponto fraco na segurança de TI do hospital“. 

E em uma declaração ao El Reg,  o vice-presidente sênior de comunicações da Gigaset, Raphael Dörr, disse:

Durante as análises de controle de rotina, notamos que alguns smartphones mais antigos tinham problemas com malware. Esta conclusão também foi confirmada por consultas de clientes individuais.

Levamos o problema muito a sério e estamos trabalhando intensamente em uma solução de curto prazo para os usuários afetados. Ao fazer isso, estamos trabalhando em estreita colaboração com especialistas forenses de TI e as autoridades relevantes. Informaremos os usuários afetados o mais rápido possível e forneceremos informações sobre como resolver o problema.

Esperamos poder fornecer mais informações e uma solução em 48 horas. Também é importante mencionar que, de acordo com o conhecimento atual, o incidente afeta apenas dispositivos mais antigos.

Presumimos atualmente que os dispositivos GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 e GS4 não são afetados. Isso é tudo o que podemos dizer por enquanto – ainda estamos investigando.”

Enquanto espera por mais informações, e se for uma opção ou necessária, a solução não técnica mais segura é simplesmente desligar um dispositivo potencialmente infectado e remover a bateria e o SIM, completo o The Register.

De acordo com relatórios de usuários anteriores, vários modelos de smartphones Android da Gigaset foram afetados pelos incidentes. Especificamente, foram nomeados os modelos GS 170 e 180. Também existem aqueles afetados com dispositivos Gigaset em outros países europeus. No entanto, também está claro que nem todos os dispositivos foram infectados (ou pelo menos não apresentam sintomas visíveis). Por exemplo, dois dos dispositivos testados, embora sem cartões SIM, permaneceram livres de infecção até agora; Leitores e proprietários de vários dispositivos GS 180 também relataram “apenas” dois dispositivos que foram infectados repentinamente.

Além dos sintomas descritos acima, muitos usuários observam que a bateria do smartphone é “sugada e descarregada” em pouco tempo. Os dispositivos afetados também devem reagir muito lentamente e alternar para o modo “não perturbe” durante a noite ou ativar automaticamente (um dispositivo que parece estar desligado provavelmente não está desligado, apenas a tela é desligada). Além disso, os afetados que usam o WhatsApp relatam que foram bloqueados pelo serviço de mensagens instantâneas. Depois que a proibição foi suspensa, eles repentinamente receberam mensagens de remetentes desconhecidos na América Latina, Ásia e África. Indicações de que o malware está acessando indevidamente o serviço e os detalhes de contato relacionados.

De acordo com os comentários das pessoas afetadas, os seguintes aplicativos (ou nomes de pacotes) e serviços instalados podem indicar uma possível infestação. No entanto, a lista não é confirmada e não está completa, especialmente porque os afetados continuam relatando novos aplicativos e serviços que aparecem repentinamente em seus dispositivos.

A suspeita inicial de que a (não) infecção de um dispositivo depende do provedor do cartão SIM ou do provedor de rede móvel foi refutada pelo feedback daqueles afetados que usam diferentes provedores de rede móvel na Europa.

Um relatório de um administrador sobre mais de 100 dispositivos Gigaset GS370 Plus no blog do autor fala contra uma infecção direcionada de dispositivos Gigaset através do navegador, uma mensagem WhatsApp, um link em um SMS ou um aplicativo instalado como fonte de malware . A frota de dispositivos é gerenciada pelo Mobile Device Management (MDM), a possibilidade de instalação de aplicativos é totalmente bloqueada pelo MDM. Apenas a atualização do firmware do Android foi permitida – e ainda ocorreram problemas com malware. Além disso, o autor recebeu comentários adicionais de um administrador que opera dispositivos Gigaset com um único aplicativo dentro de uma empresa, mas também encontrou infecções lá.

Outra vítima relatou que impediu a reinstalação do malware recém-removido em seu dispositivo desinstalando o app update.apk do aplicativo do sistema por meio do Android Debug Bridge (ADB). No geral, as indicações apontam para um servidor de atualização infectado no Gigaset ou para um comprometimento (até agora despercebido) de fábrica.

Fonte: The Register & Heise Online

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Hackers usam Linkedin para enviar backdoor More_eggs
  2. Ameaças do PowerShell cresceram 208% no quarto trimestre de 2020

Deixe sua opinião!