A Gigaset, fabricante alemã de smartphones e dispositivos de comunicação (anteriormente Siemens Home and Office Communication Devices), foi invadida por cibercriminosos em mais um ataque à cadeia de abastecimento.
De acordo com o portal alemão Heise, um servidor de atualização foi comprometido por cibercriminosos e usuários de smartphones Android, fabricados pela Gigaset, estão recebendo Trojans disfarçados de atualização, desde o final do mês passado.
Quando instalado, o malware pode abrir o navegador e oferecer anúncios de sites de apostas, buscar mais aplicativos maliciosos e até reproduzir via WhatsApp e mensagens de texto.
De acordo com uma página de suporte do Google, em alemão, vários clientes do Gigaset relataram problemas com a abertura de um navegador e oferta de anúncios de sites de apostas, problemas com WhatsApp, acesso a dados pessoais e privados, além do malware instalar outros aplicativos maliciosos e ser muito difícil remover.
Comportamento do malware
Segundo levantamento técnico realizado pela Malwarebytes, foram identificadas vítimas de smartphones das marcas Gigaset, Siemens e Alps. Sendo que Gigaset e Siemens são do mesmo fabricante. A Alps é um fabricante japonês, independente da Gigaset.
“É importante lembrar que este aplicativo de atualização pré-instalado não é o mesmo descrito em“ Atualização do sistema ”do Android. O malware rouba fotos, vídeos, localização GPS. Nesse caso, ele está simplesmente disfarçado como um aplicativo de atualização, mas não é um aplicativo de sistema pré-instalado“, escrevem os pesquisadores do Malwarebytes.
De acordo com os pesquisadores, a maioria das vítimas foi infectada por um aplicativo malicioso chamado Trojan.Downloader.Agent.WAGD. Mas também houve vítimas infectadas com Trojan.SMS.Agent.YHN4.
Embora ambos os cavalos de Troia se concentrem na abertura de páginas da web que oferecem anúncios de sites de apostas, eles têm comportamentos ligeiramente diferentes. O WAGD se espalha apenas pelo WhatsApp, enquanto o YHN4 pode se espalhar tanto pelo WhatsApp quanto pelo SMS.
Posicionamento oficial
Em uma declaração a Heise, Gigaset confirmou que alguns usuários receberam malware de um servidor de atualização comprometido. Porém, de acordo com a empresa, o malware infectou apenas dispositivos antigos do fabricante, além de relatar que a infecção foi corrigida. Mas os usuários já infectados ainda não conseguem usar seus dispositivos com segurança.
Na mesma página de suporte do Google, alguns usuários relataram que era praticamente impossível remover o malware, que ele voltava ao dispositivo, mesmo depois de desinstalado. É por isso que o autor da história de Haise recomenda que os usuários afetados parem de usar o dispositivo até que o fabricante encontre uma solução segura para os infectados.
“Enquanto o fabricante Gigaset não puder ou não quiser divulgar todos os detalhes da infecção e fornecer soluções confiáveis, os dispositivos podem simplesmente ser vistos como comprometidos… Remova a bateria (se possível), remova o cartão SIM e também troque a senha WiFi no roteador para evitar qualquer contato com a Internet. As senhas de todas as contas que foram utilizadas para se conectar a dispositivos Gigaset também devem ser alteradas“, escreve.
Fontes: Haise; Google support; Malwarebytes.
