Android

Les propriétaires de téléphones Gigaset Android ont été infectés à plusieurs reprises par des logiciels malveillants depuis la fin du mois de mars après que des acteurs menaçants aient compromis le serveur de mise à jour du fournisseur lors d’une attaque de la chaîne d’approvisionnement.

Gigaset est un fabricant allemand d’appareils de télécommunications, y compris une série de smartphones fonctionnant sous le système d’exploitation Android.

À partir du 27 mars, les utilisateurs ont soudainement constaté que leurs appareils mobiles Gigaset ouvraient à plusieurs reprises des navigateurs Web et affichaient des publicités pour des sites de jeux mobiles.

Lors de l’inspection des applications en cours d’exécution de leur téléphone, les utilisateurs ont trouvé une application inconnue appelée «easenf» en cours d’exécution, qui, une fois supprimée, serait automatiquement réinstallée.

Selon le site technologique allemand BornCity, l’application easenf a été installée par l’application de mise à jour du système de l’appareil. Les autres applications malveillantes trouvées à côté incluent «gem», «smart» et «xiaoan».

« Trois applications malveillantes ont été installées sur chacun des deux smartphones concernés, qui ont heureusement pu être arrêtées et désinstallées sans aucun problème, mais qui ont ensuite été rechargées à plusieurs reprises par l’application de mise à jour exécutée en arrière-plan en tant que processus système, à moins que l’application de mise à jour ne soit interrompue manuellement après chaque redémarrage: easenf ou gem, et dans les deux cas smart et xiaoan », a déclaré un lecteur à BornCity.

Les utilisateurs de Gigaset ont téléchargé certains de ces packages malveillants sur VirusTotal [1, 2], où ils sont détectés en tant que logiciels publicitaires ou téléchargeurs.

Depuis le début de l’attaque, Malwarebytes soutient les propriétaires de Gigaset sur leurs forums et détecte la menace comme «Android / PUP.Riskware.Autoins.Redstone».

Sur la base de leurs recherches, Malwarebytes déclare que l’application «Android / PUP.Riskware.Autoins.Redstone» téléchargera d’autres logiciels malveillants sur les appareils détectés comme «Android / Trojan.Downloader.Agent.WAGD».

Ces charges utiles secondaires commencent toutes par le nom «com.wagd» et ont été vues en utilisant le com.wagd.xiaoan, com.wagd.gem, com.wagd.smarter, et com.yhn4621.ujm0317 paquet…

Voir la source de cette publication