Hackean los servidores de actualización de los teléfonos Gigaset para distribuir malware

En los últimos días se ha descubierto malware en los teléfonos Android de la marca Gigaset, que se instalaba utilizando los servidores de actualización de la marca

Desde el pasado 27 de Marzo, varios usuarios de smartphones de la marca Gigaset comenzaron a quejarse de varias aplicaciones maliciosas que aparecían instaladas en sus dispositivos sin su consentimiento, la mayor parte de ellos son de origen alemán.

La aplicación maliciosa instalada utilizaba como nombre ‘easenf’, aunque también se han detectado casos en los que utilizaba los nombres ‘gem’, ‘smart’, y ‘xiaoan’. Uno de los mayores problemas de este malware era su desinstalación, ya que tan pronto como las víctimas la desinstalaban, ésta volvía a aparecer instalada en el dispositivo.

Los usuarios han subido varias de las muestras a VirusTotal, donde buena parte de los antivirus las detectan como aplicaciones adware, es decir, malware cuyo principal objetivo es mostrar anuncios a los usuarios. Aunque estas aplicaciones, además de mostrar anuncios a las víctimas, también instalan otras aplicaciones maliciosas y utilizarán la cuenta de WhatsApp de la víctima para propargarse envíando mensajes a los contactos.

Una de las muestras subida a VirusTotal

Tras las quejas de los usuarios, Gigaset investigó el caso y ha confirmado que uno de sus servidores de actualizaciones ha sido comprometido, lo que ha permitido a los atacantes el acceso al mismo para, finalmente, distribuir las aplicaciones maliciosas como si se tratasen de actualizaciones. Por este motivo el malware volvía a aparecer en el sistema después de que las víctimas lo eliminasen.

Malicious apps installed on Gigaset phones

Imagen del malware instalado solicitando permisos para realizar llamadas. Fuente: Foro de MalwareBytes

Según la compañía, se han visto afectados modelos antiguos, principalmente dispositivos para los que el usuario no ha actualizado recientemente. También han confirmado que desde el pasado 7 de Abril han recuperado el control completo del servidor afectado, por lo que éste ha dejado de distribuir el malware desde entonces. Se recomienda comprobar si se encuentra instalada alguna de las siguientes aplicaciones y eliminarla en caso afirmativo:

Gem

Smart

Xiaoan

asenf

Tayase

com.yhn4621.ujm0317

com.wagd.smarter

com.wagd.xiaoan

Ver información original al respecto en Fuente>