Frissítéssel kártékony kód – ellátási lánc támadás?

Jellemzően németországi felhasználók tapasztalták eddig azt a jelentséget, hogy a boltban frissen vásárolt Siemens Gigaset okostelefonjukra – érthetetlen módon – vírus került. A kezdeti elemzések szerint a káros kód egy rendszerfrissítés segítségével kerül a telefonra, mely frissítést egy előtelepített update alkalmazás kezdeményez.

Bár a jelenség leginkább a Gigaset eszközöket érinti, más gyártók termékei is érintettek lehetnek. Az eddig feltárt, lehetségesen érintett eszközök listáját is közzétették a kutatók:

• Gigaset GS270; Android OS 8.1.0
• Gigaset GS160; Android OS 8.1.0
• Siemens GS270; Android OS 8.1.0
• Siemens GS160; Android OS 8.1.0
• Alps P40pro; Android OS 9.0
• Alps S20pro+; Android OS 10.0

A legtöbb megfertőződött Gigaset felhasználó készülékére a “com.redstone.ota.ui” alkalmazás a Android/Trojan.Downloader.Agent.WAGD három eltérő verzióját is telepítheti, de mivel a csomagok nevének vége egységesen “com.wagd.” -ra végződik, felismerésük viszonylag könnyű. Ezek lehetnek:

• Package name:com.wagd.gem
• App name:gem
• Package name: com.wagd.smarter
• App name: smart
• Package name: com.wagd.xiaoan
• App name: xiaoan

Fórumozók jelzései szerint a telepített Android/Trojan.Downloader.Agent.WAGD féreg képes a telefonról káros WhatsApp üzeneteket küldeni, az alapértelmezett böngészőben különböző weboldalakat megnyitni, vagy további káros tartalmakat letölteni.