Владельцы телефонов Gigaset Android (немецкий производитель телекоммуникационных устройств, в том числе серии смартфонов под управлением операционной системы Android) с конца марта неоднократно обнаруживали, что их смартфоны подверглись заражению вирусом – это стало следствием взлома злоумышленниками сервера обновлений.

Начиная примерно с 27 марта, пользователи неожиданно обнаружили, что их мобильные устройства Gigaset многократно открывают веб-браузеры и показывают рекламу игровых сайтов.

При проверке запущенных приложений на своем телефоне пользователи обнаружили неизвестное приложение под названием «easynf», которое при удалении автоматически переустанавливалось. Easynf было установлено приложением для обновления системы устройства.

Пользователи Gigaset загрузили некоторые из этих вредоносных пакетов в VirusTotal, где они обнаруживаются как рекламное ПО или загрузчики.

С момента начала атаки Malwarebytes поддерживает владельцев Gigaset на их форумах и определяет угрозу как «Android/PUP.Riskware.Autoins.Redstone».

Основываясь на своем исследовании, Malwarebytes заявляет, что приложение «Android / PUP.Riskware.Autoins.Redstone» будет загружать дополнительные вредоносные программы на устройства, которые определяются как «Android/Trojan.Downloader.Agent.WAGD».

Malwarebytes заявляет, что приложение easynf будет отображать рекламу, устанавливать другие вредоносные приложения и пытаться распространяться через сообщения WhatsApp. Вирусная атака касается следующих устройств Gigaset Android:

Gigaset GS270; ОС Android 8.1.0

Gigaset GS160; ОС Android 8.1.0

Siemens GS270; ОС Android 8.1.0

Siemens GS160; ОС Android 8.1.0

Alps P40pro; ОС Android 9.0

Alps S20pro +; ОС Android 10.0

Чтобы предотвратить повторную установку вредоносных пакетов скомпрометированным сервером обновлений Gigaset, необходимо принудительно отключить приложение обновления устройства с помощью параметров разработчика и adb с помощью следующей команды:

adb shell pm disable-user –user 0 com.redstone.ota.ui

Gigaset подтверждает, что один из серверов обновлений компании был взломан и использовался для распространения вредоносных приложений.