Ameaça de instalador automático pré-instalado encontrado em dispositivos móveis Android na Alemanha

Views: 39
0 0
Read Time:5 Minute, 57 Second

Os usuários localizados principalmente na Alemanha estão experimentando malware que baixa e instala em seus dispositivos móveis Gigaset — logo de cara! O culpado pela instalação desses aplicativos de malware é o aplicativo Update, nome do pacote com.redstone.ota.ui, que é um aplicativo de sistema pré-instalado. Este aplicativo não é apenas o atual updater do sistema do dispositivo móvel, mas também um Instalador Automático conhecido como Android/PUP. Riskware.Autoins.Redstone.

  • Foto por Malwarebytes Forum usuário Mark-Herzog
  • Foto por Malwarebytes Forum usuário Mark-Herzog
  • Foto por Malwarebytes Forum usuário Mark-Herzog
  • Foto por Malwarebytes Forum usuário Mark-Herzog

Foto por Malwarebytes Forum usuário Mark-Herzog

Dispositivos infectados e outras notas importantes

Embora este problema pareça ser encontrado principalmente em dispositivos móveis Gigaset, também encontramos outros fabricantes envolvidos. Aqui está uma lista de make/model/os versão de dispositivos móveis encontrados com Android/PUP. Riskware.Autoins.Redstone:

  • Gigaset GS270; Android OS 8.1.0
  • Gigaset GS160; Android OS 8.1.0
  • Siemens GS270; Android OS 8.1.0
  • Siemens GS160; Android OS 8.1.0
  • Alpes P40pro; Android OS 9.0
  • Alpes S20pro+; Android OS 10.0

Devemos notar que os nomes Gigaset e Siemens têm uma sobreposição considerável — a Gigaset era anteriormente conhecida como Siemens Home and Office Communications Devices. Listamos ambos para apagar qualquer confusão.

É importante perceber que todo dispositivo móvel tem algum tipo de aplicativo de atualização do sistema. A menos que você esteja experimentando os comportamentos exatos na próxima seção, você provavelmente não está infectado. Outro ponto-chave é que este aplicativo de atualização pré-instalado não é o mesmo que é descrito no malware “System Update” do Android rouba fotos, vídeos, localização gps. Nesse caso, o malware está simplesmente se escondendo como um aplicativo de atualização, mas não é um aplicativo de sistema pré-instalado.

Comportamento de malware

Para a maioria dos usuários do Gigaset que sofrem com essa infecção, com.redstone.ota.ui instala três versões do Android/Trojan.Downloader.Agent.WAGD. O nome do pacote deste malware sempre começa com “com.wagd”. e é seguido pelo nome do aplicativo. Aqui estão alguns exemplos:

  • Nome do pacote: com.wagd.gem
  • Nome do aplicativo: gem
  • Nome do pacote: com.wagd.smarter
  • Nome do aplicativo: inteligente
  • Nome do pacote: com.wagd.xiaoan
  • Nome do aplicativo: xiaoan

De acordo com usuários e análises do fórum, Android/Trojan.Downloader.Agent.WAGD é capaz de enviar mensagens maliciosas via WhatsApp, abrindo novas guias no navegador padrão da Web para sites de jogos, baixando aplicativos mais maliciosos e possivelmente outros comportamentos maliciosos. As mensagens maliciosas do WhatsApp são mais prováveis para espalhar ainda mais a infecção para outros dispositivos móveis.

In addition, some users also experience Android/Trojan.SMS.Agent.YHN4 on their mobile devices. The downloading and installation of this SMS Agent is due to Android/Trojan.Downloader.Agent.WAGD visiting gaming websites containing malicious apps. Thereupon, the mobile device contains malware capable of sending malicious SMS messages. Like with the malicious WhatsApp messages, it can in addition send malicious SMS messages to further spread the infection.

  • Photo by Malwarebytes Forum user HendrikusE
  • Photo by Malwarebytes Forum user HendrikusE

Photo by Malwarebytes Forum user HendrikusE

Awaiting resolution

Como com.redstone.ota.ui é um aplicativo do sistema, você não pode removê-lo usando métodos tradicionais. Além disso, evidências passadas de Adups e outras variantes mostram que desativar aplicativos de atualização pré-instalados é impossível ou reativado logo após a desativação. Portanto, assim como o caso da UMX em janeiro de 2020,cabe ao fabricante do dispositivo empurrar uma atualização para realmente corrigir este problema. Tenha em mente que mesmo depois que o fabricante corrigir o problema, eles podem empurrar mais uma atualização no futuro para re-infectar. Há algumas evidências de que este tem sido o caso com a UMX recentemente, mas esse é outro blog para outro dia.

No caso de Gigaset, o blogueiro alemão Günter Nascido em seu blog Borncity já ficou com a bola rolando entrando em contato com Gigaset para resolver. Enquanto isso, de acordo com uma atenção fixada na parte inferior do blog do Sr. Born, ele sugere o seguinte (traduzindo do alemão para o inglês usando o Google Translator):

Atenção: Recomendo que todos os proprietários de dispositivos Gigaset Android prestem atenção às informações no post do blog Ataque de malware: o que os proprietários de dispositivos Gigaset Android devem fazer agora e deixar o dispositivo morto. Pelo menos até gigaset ter respondido e o processo foi completamente esclarecido.

Uma solução segura

A recomendação acima mencionada para citar, colocar o dispositivo morto,pode não ser uma opção para alguns usuários se este for o seu único dispositivo móvel. Permita-me sugerir outra opção que ainda dá aos usuários a capacidade de usar seu dispositivo móvel Gigaset com segurança.

Sim, é verdade que você não pode removê-lo usando métodos tradicionais, mas temos uma solução alternativa!

Podemos usar o método abaixo para desinstalar a Atualização (com.redstone.ota.ui)para usuários atuais (detalhes no link abaixo):

https://forums.malwarebytes.com/topic/216616-removal-instructions-for-adups/

A partir do tutorial acima, use este comando durante a etapa 7 em Desinstalar Adups via linha de comando ADB para remover:

adb shell pm uninstall -k --user 0 com.redstone.ota.ui

Neste ponto, execute um Malwarebytes para varredura do Android para remover quaisquer aplicativos de malware restantes.

Verificando atualizações

Aqui está o kicker. Lembre-se que o aplicativo Update também é a única maneira do dispositivo móvel atualizar o sistema. Assim, se e quando o Gigaset chegar a uma resolução, você precisará verificar se há atualizações do sistema reinstalando a Atualização.

Você pode reinstalar usando este comando:

adb shell pm install -r --user 0 <full path of the apk>

Os dois caminhos completos dos apk’s que vimos até agora são os seguintes:

/system/priv-app/ThirdPartyRSOTA/ThirdPartyRSOTA.apk

/system/app/Rsota/Rsota.apk

Se nenhum desses caminhos funcionar, você pode encontrar o caminho correto, mesmo depois de desinstalar para o usuário atual, executando este comando:

adb shell pm list packages -f -u

Copie/cole a saída em um editor de texto (como Notpad) e procure por com.redstone.ota.ui para encontrar o caminho correto.

Se não houver atualizações para instalar ou se a atualização que a instalação não resolver o problema, lembre-se de desinstalar novamente a Atualização para o usuário atual.

Batalha sem fim

Ajudar os clientes a resolver malwares pré-instalados é uma ação recorrente por parte de mim e de nossa equipe de suporte móvel. Felizmente, no caso dos usuários do Gigaset, há uma resolução viável. Se você estiver enfrentando problemas semelhantes ou outros problemas de malware móvel, você pode nos contatar em nosso Fórum de Malwarebytes ou para obter um suporte mais completo, envie um bilhete de suporte. Como sempre, fique seguro lá fora!

FONTE: MALWAREBYTES

Previous post FBI prende homem que planejava explodir data center da AWS
Next post Operação Checker: PF prende dois em ação contra fraude do Auxílio Emergencial

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *