Um novo ataque à cadeia de suprimentos chegou às manchetes, os agentes da ameaça comprometeram pelo menos um servidor de atualização do fabricante de smartphones Gigaset para entregar malware.

A Gigaset AG , anteriormente conhecida como Siemens Home and Office Communication Devices, é uma empresa multinacional com sede na Alemanha. A empresa atua principalmente na área de tecnologia de comunicações. A Gigaset fabrica telefones DECT. Em 2018, contava com 888 funcionários, receita de 280 milhões de euros e atividades de vendas em aproximadamente 70 países.

O ataque à cadeia de suprimentos ocorreu por volta de 1º de abril de 2021, o malware foi entregue aos dispositivos Android do fornecedor alemão. De acordo com o blog BornCity , vários usuários têm relatado infecções por malware, seus dispositivos foram infectados com adware projetado para exibir anúncios indesejados e invasivos. Muitos usuários do Android relataram infecções nos fóruns de suporte do Google

O site alemão heise.de publicou uma lista de aplicativos indesejados (ou nomes de pacotes) e serviços que foram instalados nos dispositivos dos usuários. A lista a seguir não está completa e outros aplicativos podem estar presentes dos dispositivos afetados:

• easenf
• com.wagd.smarter ( análise por VirusTotal )
• com.wagd.xiaoan ( análise por VirusTotal )
• de acordo com
• inteligente
• Configurações do aplicativo
• Tayase
• com.yhn4621.ujm0317
• Navegador de churrasco

Abaixo a lista de possíveis consequências das infecções relatadas por BornCity:

• As janelas do navegador abrem repentinamente com anúncios ou redirecionam para sites de jogos de azar
• As contas do WhatsApp estão bloqueadas (devido a atividades críticas)
• As contas do Facebook podem ser assumidas completamente
• As mensagens SMS podem ser enviadas automaticamente
• O dispositivo entra no modo “não perturbe”
• A bateria esgota-se rapidamente
• O smartphone fica lento

“As indicações iniciais dos usuários afetados sugerem que os dados também podem ter sido deduzidos dos smartphones. Eu havia relatado bastante sobre esse problema na postagem do blog  alemão Gigaset Android Update Server provavelmente entrega malware  (mais postagens estão disponíveis apenas no meu blog alemão). ” afirma o site BornCity .

Um dos sintomas mais preocupantes relatados pelos usuários do Gigaset é o envio de mensagens de WhatsApp e SMS, em alguns casos o WhatApp suspendeu as contas por atividade suspeita.

Gigaset confirmou o ataque à cadeia de suprimentos e revelou que apenas os usuários que receberam atualizações de firmware de um dos servidores comprometidos foram afetados. O fornecedor já está trabalhando “em uma solução de curto prazo para os usuários afetados”.

“Durante as análises de controle de rotina, percebemos que alguns smartphones mais antigos apresentavam problemas de malware. Esta conclusão também foi confirmada por consultas de clientes individuais. Levamos o problema muito a sério e estamos trabalhando intensamente em uma solução de curto prazo para os usuários afetados.

Ao fazer isso, estamos trabalhando em estreita colaboração com especialistas forenses de TI e as autoridades relevantes. Informaremos os usuários afetados o mais rápido possível e forneceremos informações sobre como resolver o problema.

Esperamos poder fornecer mais informações e uma solução em 48 horas.

Também é importante mencionar que, de acordo com o conhecimento atual, o incidente afeta apenas dispositivos mais antigos.

Presumimos atualmente que os dispositivos GS110, GS185, GS190, GS195, GS195LS, GS280, GS290, GX290, GX290 plus, GX290 PRO, GS3 e GS4 não são afetados. ” disse um porta-voz da Gigaset.

Fonte: https://securityaffairs.co/wordpress/116450/cyber-crime/gigaset-malware-supply-chain-attack.html