Спецпроекты

Взломан сервер обновлений Gigaset. Владельцам смартфонов постоянно устанавливается вредоносное ПО

Безопасность Стратегия безопасности Пользователю Техника

Компания Gigaset, крупный немецкий производитель устройств на базе Android, стала жертвой кибератаки, в результате которой с её сервера обновлений распространялись вредоносные и нежелательные программы. Впрочем, жертвами оказались лишь некоторые пользователи.

Троянцы и прочая живность

Обладатели Android-смартфонов немецкого производителя Gigaset с конца марта 2021 г. регулярно обнаруживали на своих устройствах вредоносные программы. Как выяснилось, злоумышленникам удалось скомпрометировать сервер обновлений компании.

Начиная с 27 марта владельцы устройств Gigaset обнаружили, что на их смартфонах то и дело открывается браузер и демонстрирует рекламу мобильных игр. Среди установленных приложений появилось некая неизвестная сущность «easenf», которая, как пишет Bleeping Computer, упрямо переустанавливалась после каждого удаления.

Как выяснили эксперты ресурса BornCity, приложение устанавливалось самой системой, точнее, функцией его обновления. Помимо «easenf», таким же образом на смартфоны попадали ещё несколько приложений - «gem», «smart» и «xiaoan». После каждого их удаления они вскоре снова оказывались на смартфонах без ведома и согласия пользователей. Все эти приложения распознаются ресурсом VirusTotal как adware или загрузчики сторонних программ.

По данным Malwarebytes, первым делом на смартфон устанавливается загрузчик Redstone (Android/PUP.Riskware.Autoins.Redstone; в системе Android регистрируется как системное приложение com.redstone.ota.ui), который затем докачивает три версии троянца-загрузчика Android/Trojan.Downloader.Agent.WAGD - com.wagd.gem, com.wagd.smarter и com.wagd.xiaoan, которые уже устанавливаются в системе как самостоятельные приложения.

gigaset600.jpg
Компания Gigaset стала жертвой кибератаки, в результате которой с её сервера обновлений распространялись вредоносные и нежелательные программы

На некоторые устройства устанавливался также троянец Android/Trojan.SMS.Agent.YHN4; как можно понять из его названия, он способен рассылать SMS и использует это для своего дальнейшего распространения. Разновидность троянца WAGD также пытаются распространяться дальше, но посредством сообщений через WhatsApp, если он установлен в системе.

Отключить обновления

В Malwarebytes указывают, что автоустановку можно нейтрализовать, если перейти в режим разработчика и ввести следующую команду: adb shell pm disable-user –user 0 com.redstone.ota.ui.

Это деактивирует системные обновления.

В Gigaset в уклончивых выражениях подтвердили наличие проблем - но только со старыми устройствами.

Редактор BornCity Гюнтер Борн (Günter Born) утверждает, что звонил в Gigaset и что там ему сообщили о компрометации сервера обновлений. В этом случае, правда, остаётся неясным, почему только старые устройства подвержены этой проблеме.

В публикации Malwarebytes указывается также, что троянец Redstone обнаружен не только на устройствах Gigaset, но и на некоторых моделях смартфонов Siemens (GS270 и GS16, Android 8.1.0) и Alps (P40pro и S20pro+, Android 9.0 и 10.0, соответственно).

- Компрометация сервера обновлений для большого количества устройств открывает перед злоумышленниками широчайшие возможности, так что даже немного удивляет, что всё ограничилось рекламными накрутками, - считает Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего». - Возможно, просто не все последствия стали явными для пользователей. Подобные атаки - если речь действительно идёт о компрометации центрального сервера обновлений у Gigaset - относятся к числу самых опасных просто в силу количества итоговых жертв и невозможности для подавляющего большинства конечных пользователей защититься от них.

В Gigaset заявляют, что проводят расследование инцидента.