El Gigaset, Fabricante alemán de teléfonos inteligentes y dispositivos de comunicación (anteriormente Siemens Home and Office Communication Devices), ha sido invadido por ciberdelincuentes en otro ataque a la cadena de suministro.
Según el portal alemán, Heise, un servidor de actualización ha sido comprometido por los ciberdelincuentes y los usuarios de teléfonos inteligentes Android, fabricados por Gigaset, están recibiendo troyanos disfrazado de actualización, desde finales del mes pasado.
Cuando se instala, el malware puede abrir el navegador y ofrecer anuncios de sitios de apuestas, buscar más aplicaciones maliciosas e incluso reproducirse a través de WhatsApp y mensajes de texto.
Según una página de soporte de Google, en alemán, varios clientes de Gigaset informaron problemas con la apertura de un navegador y la oferta de anuncios de sitios de apuestas, problemas con WhatsApp, acceso a datos personales y privados, además de que el malware instalaba otras aplicaciones maliciosas y era muy dificil de quitar.
Comportamiento de malware
Según una encuesta técnica realizada por Malwarebytes, se identificaron víctimas de teléfonos inteligentes de las marcas Gigaset, Siemens y Alps. Siendo que Gigaset y Siemens son del mismo fabricante. Alps es un fabricante japonés, ajeno a Gigaset.
“Es importante recordar que esta aplicación de actualización preinstalada no es la misma que se describe en” Actualización del sistema “de Android. El malware roba fotos, videos, ubicación GPS. En ese caso, es simplemente disfrazada como una aplicación de actualización, pero no es una aplicación del sistema preinstalada“, escriben los investigadores de Malwarebytes.
Según los investigadores, la mayoría de las víctimas fueron infectadas por una aplicación maliciosa llamada Trojan.Downloader.Agent.WAGD. Pero también hubo víctimas infectadas con Trojan.SMS.Agent.YHN4.
Si bien ambos troyanos se centran en abrir páginas web que ofrecen anuncios de sitios de apuestas, tienen comportamientos ligeramente diferentes. WAGD se propaga solo a través de WhatsApp mientras que YHN4 puede propagarse a través de WhatsApp y SMS.
Posicionamiento oficial
En una declaración a Heise, Gigaset confirmó que algunos usuarios recibieron malware de un servidor de actualización comprometido. Sin embargo, según la compañía, el malware solo infectó dispositivos antiguos del fabricante, además de informar que la infección se ha solucionado. Pero los usuarios ya infectados siguen sin poder utilizar sus dispositivos de forma segura.
En la misma página de soporte de Google, algunos usuarios informaron que era prácticamente imposible eliminar el malware, que el de vuelta al dispositivo, incluso después de haber sido desinstalado. Por eso, el autor de la historia de Haise recomienda que los usuarios afectados dejen de usar el dispositivo hasta que el fabricante encuentre una solución segura para los infectados.
“Mientras el fabricante Gigaset no pueda o no quiera revelar todos los detalles de la infección y brindar soluciones confiables, los dispositivos simplemente pueden verse como comprometidos … Quitar la batería (si es posible), elimine la tarjeta SIM y también cambiar la contraseña de WiFi en el enrutador para evitar cualquier contacto con Internet. También se deben cambiar las contraseñas de todas las cuentas que se utilizaron para conectarse a los dispositivos Gigaset“, el escribe.
Fuentes: Haise; Soporte de Google; Malwarebytes.
See the original post at: https://thehack.com.br/fabricante-alema-de-smartphones-e-a-mais-nova-vitima-de-um-ataque-a-cadeia-de-suprimentos/?rand=48889
