Hackean los servidores de actualización de los teléfonos Gigaset para distribuir malware
En los últimos días se ha descubierto malware en los teléfonos Android de la marca Gigaset, que se instalaba utilizando los servidores de actualización de la marca
Desde el pasado 27 de Marzo, varios usuarios de smartphones de la marca Gigaset comenzaron a quejarse de varias aplicaciones maliciosas que aparecían instaladas en sus dispositivos sin su consentimiento, la mayor parte de ellos son de origen alemán.
La aplicación maliciosa instalada utilizaba como nombre ‘easenf’, aunque también se han detectado casos en los que utilizaba los nombres ‘gem’, ‘smart’, y ‘xiaoan’. Uno de los mayores problemas de este malware era su desinstalación, ya que tan pronto como las víctimas la desinstalaban, ésta volvía a aparecer instalada en el dispositivo.
Los usuarios han subido varias de las muestras a VirusTotal, donde buena parte de los antivirus las detectan como aplicaciones adware, es decir, malware cuyo principal objetivo es mostrar anuncios a los usuarios. Aunque estas aplicaciones, además de mostrar anuncios a las víctimas, también instalan otras aplicaciones maliciosas y utilizarán la cuenta de WhatsApp de la víctima para propargarse envíando mensajes a los contactos.
Una de las muestras subida a VirusTotal
Tras las quejas de los usuarios, Gigaset investigó el caso y ha confirmado que uno de sus servidores de actualizaciones ha sido comprometido, lo que ha permitido a los atacantes el acceso al mismo para, finalmente, distribuir las aplicaciones maliciosas como si se tratasen de actualizaciones. Por este motivo el malware volvía a aparecer en el sistema después de que las víctimas lo eliminasen
Malicious apps installed on Gigaset phones
Imagen del malware instalado solicitando permisos para realizar llamadas. Fuente: Foro de MalwareBytes
Según la compañía, se han visto afectados modelos antiguos, principalmente dispositivos para los que el usuario no ha actualizado recientemente. También han confirmado que desde el pasado 7 de Abril han recuperado el control completo del servidor afectado, por lo que éste ha dejado de distribuir el malware desde entonces. Se recomienda comprobar si se encuentra instalada alguna de las siguientes aplicaciones y eliminarla en caso afirmativo:
Gem
Smart
Xiaoan
asenf
Tayase
com.yhn4621.ujm0317
com.wagd.smarter
com.wagd.xiaoan
Ver información original al respecto en Fuente>
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.