Los ciberdelincuentes han tenido éxito colar más aplicaciones maliciosas en dispositivos Gigaset Android al comprometer un servidor que pertenece a un proveedor de servicios de actualización externo.
Al principio de la semana, descubrió un investigador el hecho de que varios modelos de teléfonos inteligentes vendidos en Alemania se incorporaron con malware directamente de fábrica a través de una aplicación de actualización del sistema preinstalada. Modelos afectados, según Malwarebytes, incluyen Gigaset GS270 y GS160, Siemens GS270 y GS160, todos con Android 8, así como Alps P40pro, con Android 9 y S20pro +, con Android 10.
Los síntomas de la infección incluyen ventanas del navegador que se abren repentinamente con anuncios, las cuentas de WhatsApp están bloqueadas, las cuentas de Facebook están completamente controladas y los mensajes de texto maliciosos se envían automáticamente. Aparecen junto al dispositivo que cambia a No molestar por sí solo, el rendimiento es considerablemente más lento y la duración de la batería se descarga mucho más rápido de lo esperado.
Gigaset confirmado con Hacker de noticias que las infecciones se produjeron como resultado de la infiltración de piratas informáticos en un servidor propiedad de un proveedor de servicios de actualización externo y que tomó medidas para advertirles sobre el problema.
Las infecciones se informaron por primera vez el 27 de marzo, y Gigaset finalmente cerró la vulnerabilidad el 7 de abril después de que la compañía de terceros recuperó el control del servidor comprometido.
«Se han tomado medidas para eliminar automáticamente los dispositivos infectados con malware. Para que esto suceda, los dispositivos deben estar conectados a Internet (WLAN, WiFi o datos móviles)», dijo la compañía. «También recomendamos que conecte sus dispositivos a los dispositivos afectados en caso de que el malware los libere automáticamente en un plazo de ocho horas. «
Los piratas informáticos han logrado instalar aplicaciones maliciosas en estos dispositivos Android al secuestrar los canales de actualización oficiales, conocidos en estos dispositivos como el paquete «com.redstone.ota.ui». Debido a que se trataba de una aplicación de sistema preinstalada, las víctimas no podían eliminarla fácilmente con los métodos tradicionales.
Aunque las infecciones están presentes en gran parte en Alemania, el método de ataque se dirigirá a los fabricantes de dispositivos de todo el mundo. Los teléfonos se vendieron a clientes que ya estaban infectados con una serie de aplicaciones maliciosas y no se requirió interacción de su parte.
Este es el mas reciente ataque a la cadena de suministro que se informará en los últimos meses tras una serie de incidentes más devastadores, incluido el infame Plataforma SolarWinds Orion y Microsoft Exchange Server ataques.