Gigaseti Android-telefonide omanikud on alates märtsi lõpust korduvalt pahavaraga nakatunud pärast seda, kui ähvardused ohustasid operaatori värskendusserverit tarneahela rünnaku käigus.
Gigaset on Saksamaa telekommunikatsiooniseadmete tootja, sealhulgas Androidi operatsioonisüsteemiga nutitelefonide seeria.
Alates umbes 27. märtsil , avastasid kasutajad ootamatult, et nende Gigaseti mobiilseadmed avasid korduvalt veebibrausereid ja kuvasid mobiilimängude saitide reklaame.
Telefonis töötavaid rakendusi kontrollides leidsid kasutajad, et töötab tundmatu rakendus nimega 'easenf', mis pärast eemaldamist installib end automaatselt uuesti.
Saksa tehnoloogilise saidi BornCity andmetel installiti easenfi rakendus seadme süsteemivärskendusrakendusest. Selle kõrval leitud muud pahatahtlikud rakendused hõlmavad 'gem', 'smart' ja 'xiaoan'.
Mõlemasse mõjutatud nutitelefoni installiti kolm pahavararakendust, mida sai õnneks turvaliselt sulgeda ja desinstallida, kuid taustal töötav värskendusrakendus laadis need seejärel süsteemiprotsessina korduvalt uuesti, välja arvatud juhul, kui värskendaja rakendust pärast seda käsitsi ei lõpetatud. iga taaskäivitus: easenf või gem ja mõlemal juhul smart ja xiaoan ', lugeja rääkis BornCity .
Gigaseti kasutajad on mõned neist pahatahtlikest paketidest üles laadinud VirusTotali [ 1 , kaks ], kus need tuvastatakse reklaamvara või allalaadijatena.
Rünnaku algusest peale on Malwarebytes toetanud Gigaseti omanikke nende foorumites ja tuvastab ohuna 'Android/PUP.Riskware.Autoins.Redstone'.
Tema uurimistöö põhjal Malwarebytes'i olekud et rakendus „Android/PUP.Riskware.Autoins.Redstone” laadib alla täiendava pahavara seadmetesse, mis on tuvastatud kui „Android/Trojan.Downloader.Agent.WAGD”.
Kõik need alamkoormused algavad nimega „com.wagd” ja neid on kasutatud laiendiga com.wagd.xiaoan , com.wagd.gem , com.wagd.smarter , see on com.yhn4621.ujm0317 pakettide nimed.
Gigaseti seadmesse installitud pahatahtlik kalliskivirakendus
Malwarebytes väidab, et need rakendused kuvavad reklaame, installivad muid pahatahtlikke rakendusi ja proovivad levida WhatsAppi sõnumite kaudu.
Malwarebytes on avastanud, et see tarneahela rünnak mõjutab järgmisi Gigaseti Android-seadmeid:
- Gigaset GS270; Android 8.1.0 operatsioonisüsteem
- Gigaset GS160; Android 8.1.0 operatsioonisüsteem
- SiemensGS270; Android 8.1.0 operatsioonisüsteem
- SiemensGS160; Android 8.1.0 operatsioonisüsteem
- Alpid P40pro; Android 9.0 operatsioonisüsteem
- Alpid S20pro +; Android 10.0 operatsioonisüsteem
Pahatahtlike pakettide uuesti installimise vältimiseks Gigaseti ohustatud värskendusserverist ütles kasutaja Bornile, et ta peab seadme värskendusrakenduse sunniviisiliselt keelama, kasutades arendaja valikuid ja adb järgmise käsuga:
|_+_|Gigaset kinnitab küberrünnakut
Gigasetiga peetud kõnes öeldi Günter Bornile BornCityst, et ühte ettevõtte värskendusserverit on rikutud ja seda on kasutatud pahatahtlike rakenduste eemaldamiseks.
'Gigaseti seadmete värskendamiseks kasutatud värskendusserver oli ohustatud, põhjustades mõjutatud seadmete nakatatuse pahavaraga,' selgitab Born.
Ettevõte jagas BornCityga ka järgmist avaldust:
'Tavaliste kontrollide käigus märkasime, et mõnel vanemal nutitelefonil oli pahavara probleeme. Seda järeldust kinnitasid ka üksikud klientide päringud.
Võtame seda väga tõsiselt ja töötame kõvasti mõjutatud kasutajate lühiajalise lahenduse leidmiseks.
Seejuures teeme tihedat koostööd IT kohtuekspertide ja asjaomaste ametiasutustega. Teavitame mõjutatud kasutajaid esimesel võimalusel ja anname neile teavet probleemi lahendamise kohta.
Loodame, et suudame 48 tunni jooksul pakkuda rohkem teavet ja lahendust.
Samuti on siinkohal oluline meeles pidada, et praeguste teadmiste põhjal puudutab krahh ainult vanemaid seadmeid.
Praegu eeldame, et GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 ja GS4 seadmeid see ei mõjuta. '- Gigaset
BleepingComputer võttis lisaküsimustega ühendust Gigasetiga, kuid ei saanud vastust.
Mida sa arvad?
