Les smartphones Gigaset infectés par des malwares Android

0

Les propriétaires de téléphones Android Gigaset ont été infectés à plusieurs reprises par des logiciels malveillants depuis la fin du mois de Mars après que les pirates informatiques aient compromis le serveur de mise à jour du fournisseur lors d’une attaque de la chaîne d’approvisionnement.

Gigaset est un fabricant allemand d’appareils de télécommunications, y compris une série de smartphones fonctionnant sous le système d’exploitation Android.

À partir du 27 Mars, les utilisateurs ont soudainement observé leurs appareils mobiles Gigaset ouvrant à plusieurs reprises des navigateurs Web et affichant des publicités pour des sites de jeux mobiles.

Lors de l’inspection des applications en cours d’exécution de leur téléphone, les utilisateurs ont trouvé une application inconnue appelée « easenf », qui, lorsqu’elle est supprimée, serait automatiquement réinstallée.

Selon le site technologique allemand BornCity, l’application easenf a été installée par l’application de mise à jour système de l’appareil. D’autres applications malveillantes trouvées à ses côtés incluent « gem », « smart » et « xiaoan ».

« Trois applications malveillantes ont été installées sur chacun des deux smartphones concernés, qui pourraient heureusement être arrêtés et désinstallés sans aucun problème, mais qui ont ensuite été rechargés à plusieurs reprises par l’application de mise à jour en cours d’exécution en arrière-plan comme un processus système, à moins que l’application de mise à jour ait été arrêtée manuellement après chaque redémarrage: easenf ou gem, et dans les deux cas intelligent et xiaoan, » a déclaré un chercheur à BornCity.

Les utilisateurs de Gigaset ont envoyé certains de ces paquets malveillants sur VirusTotal [1, 2], où ils sont détectés sous forme de logiciels publicitaires ou de téléchargeurs.

Depuis le début de l’attaque, Malwarebytes a apporté son aide aux propriétaires de Gigaset sur leurs forums et détecte la menace comme « Android/PU.Riskware.Autoins.Redstone ».

En se basant sur leurs recherches, Malwarebytes déclare que « Android/PUP.Riskware.Autoins.Redstone » téléchargera d’autres logiciels malveillants sur les appareils qui sont détectés comme « Android/Trojan.Downloader.Agent.WAGD ».

Ces charges utiles secondaires commencent toutes par le nom « com.wagd », et ont été observés utilisant les noms de paquet com.wagd.xiaoan, com.wagd.gem, com.wagd.smarter, et com.yhn4621.ujm0317.

gem gigaset

Malwarebytes déclare que ces applications afficheront des publicités, installeront d’autres applications malveillantes et tenteront de se propager via les messages WhatsApp.

Malwarebytes a observé que cette attaque de la chaîne d’approvisionnement affecte les appareils Android Gigaset suivants:

  • Gigaset GS270; Android 8.1.0
  • Gigaset GS160; Android 8.1.0
  • Siemens GS270; Android 8.1.0
  • Siemens GS160; Android 8.1.0
  • Alps P40pro; Android 9.0
  • Alps S20pro+; Android 10.0

Pour éviter que les paquets malveillants ne soient réinstallés par le serveur de mise à jour compromis de Gigaset, un utilisateur a dit à Born qu’il devait désactiver de force l’application de mise à jour de l’appareil en utilisant les options de développement et adb avec la commande suivante:

adb shell pm disable-user –user 0 com.redstone.ota.ui

Gigaset confirme la cyberattaque

Lors d’un appel téléphonique avec Gigaset, Günter Born de BornCity a été informé que l’un des serveurs de mise à jour de l’entreprise a été compromis et utilisé pour propager des applications malveillantes.

« Un serveur de mise à jour utilisé par les appareils Gigaset a été compromis, de sorte que les appareils affectés ont été infectés par des logiciels malveillants », explique Born.

Raphaël Dörr, vice-président principal de la communication d’entreprise de Gigaset, a partagé la déclaration suivante au sujet de l’attaque et de la façon de supprimer le malware :

Au cours des analyses de contrôle de routine, nous avons remarqué que certains smartphones plus anciens ont des problèmes avec des logiciels malveillants. Cette constatation a également été confirmée par des particuliers après que des demandes de renseignements ont été faites. Nous avons immédiatement commencé à enquêter intensément sur l’incident en travaillant en étroite collaboration avec les experts médico-légaux en informatique et les autorités responsables. Entre-temps, nous avons pu trouver une solution au problème.

Seuls les anciens modèles de smartphones des séries GS100, GS160, GS170, GS180, GS270 (plus) et GS370 (plus) sont potentiellement touchés.

Les modèles de smartphones des séries GS110, GS185, GS190, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290(plus), GX290 PRO, GS3 et GS4 ne sont pas touchés par cet incident.

Selon nos dernières informations, seuls certains appareils des gammes de produits concernés ont été infectés. Seuls les appareils sur lesquels les mises à jour logicielles fournies par Gigaset dans le passé n’ont pas été effectuées par l’utilisateur sont affectés. Des logiciels malveillants ont été installés sur ces appareils par un serveur compromis appartenant à un fournisseur de services de mise à jour externe.

Gigaset a pris des mesures immédiates et a contacté le fournisseur de services de mise à jour. Le fournisseur de services de mise à jour a également pris des mesures immédiates et a confirmé à Gigaset que l’infection des smartphones pourrait être arrêtée le 7 avril.

Des mesures ont été prises pour débarrasser automatiquement les appareils infectés des logiciels malveillants. Pour ce faire, les appareils doivent être connectés à Internet (WLAN, WiFi ou données mobiles). Nous vous recommandons également de connecter les appareils à leurs chargeurs. Les appareils affectés doivent être automatiquement libérés du malware dans les 8 heures.

Les utilisateurs peuvent vérifier et nettoyer leurs appareils manuellement. Veuillez procéder comme suit :

Vérifier si votre appareil est affecté:

  1. Vérifiez la version de votre logicielle. La version courante du logiciel peut être sous « Paramètres » > « A propos du téléphone » et tout en bas sous « Numéro de build ».
  2. Si la version de votre logicielle est inférieure ou égale aux numéros de versions ci-dessous, votre appareil pourrait potentiellement être affecté:
    • GS160: toutes les versions de logicielles
    • GS170: toutes les versions de logicielles
    • GS180: toutes les versions de logicielles
    • GS100: jusqu’à la version GS100_HW1.0_XXX_V19 
    • GS270: jusqu’à la version GIG_GS270_S138 
    • GS270 plus: jusqu’à la version GIG_GS270_plus_S139  
    • GS370: jusqu’à la version GIG_GS370_S128 
    • GS370 plus: jusqu’à la version GIG_GS370_plus_S128

Désinstaller le malware manuellement:

  1. Un interrupteur sur le smartphone 
  2. Vérifier si votre appareil est infecté en vérifiant dans « Paramètres » > « Application » si l’une des applications suivantes est présentes:
    • Gem
    • Smart 
    • Xiaoan 
    • asenf 
    • Tayase
    • com.yhn4621.ujm0317
    • com.wagd.smarter 
    • com.wagd.xiaoan
  3. Si vous trouvez l’une ou plusieurs des applications ci-dessus, s’il vous plaît supprimez les manuellement.
    1. Ouvrez les paramètres.
    2. Cliquez sur Applications & Notifications.
    3. Cliquez sur Informations d’applications.
    4. Cliquez sur l’application désirée.
    5. Cliquez sur le bouton « Désinstaller ».
  4. Maintenant vérifiez encore si toutes les applications ci-dessus ont été désinstallées. Si les applications sont encore présente, s’il vous plaît contactez le service Gigaset au +49 (0)2871 912 912 .
  5. Si toutes les applications mentionnées ci-dessus ont été désinstallées, nous vous recommandons d’installer toutes les mises à jour de logiciel sur votre appareil.

Si cet article vous a plu, jetez un œil à notre article précédent.

Vous pourriez aussi aimer
Laisser un commentaire

Votre adresse email ne sera pas publiée.