A Gigaset, fabricante alemã de smartphones e dispositivos de comunicação (antiga Siemens Home and Office Communication Devices), foi invadida por cibercriminosos em mais um ataque a cadeia de suprimentos.
- Fabricante de notebooks é infectada por ransomware REvil, que pede US$ 50 milhões pelo resgate
- Novo ransomware não pede dinheiro, mas sim justiça aos agricultores indianos
- Agência de transporte da Austrália é a mais nova vítima do ataque à Accelion: conheça as vítimas
De acordo com o portal alemão, Heise, um servidor de atualizações foi comprometido por cibercriminosos e usuários de smartphones Android, fabricados pela Gigaset estão recebendo trojans disfarçado de uma atualização, desde o final do mês passado.
Quando instalado, o malware pode abrir o navegador e oferecer anúncios de sites de apostas, buscar por mais aplicativos maliciosos e até se reproduzir via WhatsApp e mensagens de texto.
Segundo uma página de suporte do Google, em alemão, diversos clientes da Gigaset relataram problemas como navegador abrindo e oferecendo anúncios de sites de apostas, problemas com o WhatsApp, acesso a dados pessoais e privados, além do malware instalar outros apps maliciosos e ser muito difícil de remover.
Comportamento do malware
De acordo com um levantamento técnico feito pela Malwarebytes, foram identificados vítimas de smartphones das marcas Gigaset, Siemens e Alps. Sendo que Gigaset e Siemens são do mesmo fabricante. Já a Alps é uma fabricante japonêsa, sem relação com a Gigaset.
"É importante lembrar que este aplicativo de atualização pré-instalado não é o mesmo o descrito em Android “System Update”. O malware rouba fotos, vídeos, localização GPS. Nesse caso, está simplesmente disfarçado como um aplicativo de atualização, mas não é um aplicativo de sistema pré-instalado", escrevem os pesquisadores da Malwarebytes.
Segundo os pesquisadores, a maioria das vítimas foi infectada por uma aplicação maliciosa chamada Trojan.Downloader.Agent.WAGD. Mas também houve vítimas infectadas com Trojan.SMS.Agent.YHN4.
Embora ambos os trojans foquem em abrir páginas da web oferecendo anúncios de sites de apostas, eles possuem comportamentos um pouco diferentes. O WAGD se espalha somente via WhatsApp enquanto o YHN4 pode se espalhar tanto por WhatsApp, como por SMS.
Posicionamento oficial
Em um comunicado ao Heise, a Gigaset confirmou que alguns usuários receberam malwares de um servidor de atualizações comprometido. No entanto, segundo a empresa, o malware só infectava dispositivos antigos da fabricante, além de informar que a infecção foi corrigida. Mas os usuários já infectados continuam sem poder utilizar seus dispositivos de forma segura.
Na mesma página de suporte do Google, alguns usuários relataram ser praticamente impossível remover o malware, que ele volta para o dispositivo, mesmo após ser desinstalado. Por isso, o autor da matéria do Haise recomenda que os usuários afetados parem de usar o dispositivo até que a fabricante encontre uma solução segura para os infectados.
"Enquanto o fabricante Gigaset não puder ou não quiser divulgar todos os detalhes da infecção e fornecer soluções confiáveis, os dispositivos podem simplesmente ser vistos como comprometidos... Remova a bateria (se possível), remova o cartão SIM e também altere a senha WiFi no roteador para evitar qualquer contato com a Internet. As senhas de todas as contas que foram usadas em conexões com dispositivos Gigaset também devem ser alteradas", escreve.
Fontes: Haise; Suporte do Google; Malwarebytes.