0
0
Os smartphones Android da Gigaset foram infectados por malware direto do fabricante no que parece ser um ataque da cadeia de suprimentos.
O Trojan, uma vez baixado e instalado no dispositivo da vítima através de uma atualização de software envenenada do fornecedor, é capaz de abrir janelas do navegador, buscar aplicativos mais maliciosos e enviar mensagens de texto às pessoas para espalhar ainda mais o malware, dizem pesquisadores e usuários.
As atualizações maliciosas foram semeadas em 1º de abril, a julgar por relatórios fora da Alemanha.
Nossos amigos da Heise também relataram a onda de infecções, cujos autores não haviam sido identificados no momento da escrita. Heise observou esta manhã: “A remoção permanente geralmente falha”, o que significa que é difícil remover o software persistente desagradável, acrescentando que o “departamento de garantia de qualidade” da Gigaset havia confirmado “que o servidor de atualização da empresa forneceu o malware”.
Gigaset disse ao site de notícias que o incidente afeta apenas “dispositivos mais antigos”, e que forneceria mais detalhes em breve. Os usuários que forem aos fóruns da empresa descobrirão que são, ou estavam no momento da escrita, “para manutenção“.
A empresa com sede em Munique era anteriormente conhecida como Siemens Home and Office Communications Devices, de acordo com o Malwarebytes. O antivírus biz identificou duas das cepas de malware emanando do Gigaset como Android/Trojan.Downloader.Agent.WAGD e Android/Trojan.SMS.Agent.YHN4.
O vetor de ataque é um aplicativo de atualização do sistema, identificado como com.redstone.ota.ui. Nathan Collier, do Malwarebytes, especulou em um post que os bandidos haviam comprometido os servidores de atualização da Gigaset para distribuir os Trojans, um cenário que a reportagem de Heise – e este segmento de suporte do Google – tende a confirmar.
Um método de desinstalação razoavelmente complicado que limpa com sucesso o malware está disponível no link acima (se você não está familiarizado com o trabalho de linha de comando, provavelmente não é para você).
Um post no blog corporativo em língua alemã da Gigaset publicado ontem falou longamente sobre como os criminosos, er, comprometeram um hospital graças a “um ponto fraco na segurança de TI do hospital”. Ótimo momento.
E em uma declaração ao El Reg hoje, assim como estávamos prestes a executar esta história, Gigaset veep sênior para comunicações Raphael Dörr nos disse:
Durante as análises de controle de rotina, notamos que alguns smartphones mais antigos tinham problemas com malware. Esse achado também foi confirmado por consultas de clientes individuais.
Levamos o problema muito a sério e estamos trabalhando intensamente em uma solução de curto prazo para os usuários afetados. Ao fazê-lo, estamos trabalhando em estreita colaboração com os peritos forenses de TI e as autoridades competentes. Informaremos os usuários afetados o mais rápido possível e forneceremos informações sobre como resolver o problema.
Esperamos poder fornecer mais informações e uma solução dentro de 48 horas. Também é importante mencionar neste ponto que, de acordo com o conhecimento atual, o incidente afeta apenas dispositivos mais antigos.
Atualmente assumimos que os dispositivos GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290plus, GX290 PRO, GS3 e GS4 não são afetados. Isso é tudo o que podemos dizer por enquanto – ainda estamos investigando.
Enquanto espera por mais informações, e se for uma opção ou necessário, a solução não técnica mais segura é simplesmente desligar um dispositivo potencialmente infectado e remover a bateria e o SIM.
FONTE: THE REGISTER