Káros kódokat telepített egy rendszerfrissítési app androidos Gigaset okostelefonokon

 

Újabb androidos malware botrány robbant ki, ezúttal a főleg német piacon érdekelt Gigaset gyártó (korábban: Siemens Home and Office Communications Devices) egyes termékeiről derült ki, hogy az Update nevű (csomagneve: com.redstone.ota.ui), előtelepített rendszerfrissítés-kezelő applikáció káros kódokat telepít a telefonokra. Az esetre elsőként Günter Born nevű blogger hívta fel a figyelmet, a Malwarebytes pedig már részleteket is közölt az incidensről. Az eddigi elemzések szerint az autoinstaller egy trójai program háromféle verzióját telepíti a telefonokra, amelyek közös nevezője, hogy csomagnevük “com.wagd.“-ként kezdődik. Az appok nevei a következők: gem, smart és xiaoan. Ezek többek közt képesek a fertőzött eszközről SMS, WhatsApp üzenetek küldésére, káros videójátékos weboldalakra irányítják az áldozatot, illetve további kártékony kódokat tartalmazó alkalmazásokat tölthetnek le a készülékre. Mivel az Update egy rendszeralkalmazás, a felhasználók nem tudják egyszerűen csak eltávolítani a telefonról, azonban az Android Debug Bridge (ADB) eszköz segítségével ez lehetséges ─ amiről Malwarebytes korábban részletes instrukciókat tett közzé. A Gigaset elismerte az esetet, és közölte, azért egyetlen update szerverüket érte támadás a felelős, emiatt csak bizonyos eszközök érintettek, amelyek erről a konkrét szerverről szerezték be a frissítéseket. A kérdéses kiszolgálót azóta helyreállították és jelenleg egy olyan biztonsági frissítésen dolgoznak, amely képes eltávolítani a káros kódokat az eszközökről.

A Malwarebytes elemzése szerint az alábbi termékek érintettek az incidensben:

  • Gigaset GS270 (Android OS 8.1.0)
  • Gigaset GS160 (Android OS 8.1.0)
  • Siemens GS270 (Android OS 8.1.0)
  • Siemens GS160 (Android OS 8.1.0)
  • Alps P40pro (Android OS 9.0)
  • Alps S20pro+ (Android OS 10.0)

(thehackernews.com)