Vorinstallierter Malware-Dropper auf deutschen Gigaset Android-Telefonen gefunden

Cyber Security News

In einem scheinbar neuen Fall von Android-Malware sind Benutzer von Gigaset-Mobilgeräten mit unerwünschten Apps konfrontiert, die über eine vorinstallierte System-Update-App heruntergeladen und installiert werden.

“Der Übeltäter, der diese Malware-Apps installiert, ist die Update-App mit dem Paketnamen com.redstone.ota.ui, die eine vorinstallierte System-App ist”, so Malwarebytes-Forscher Nathan Collier. “Diese App ist nicht nur der System-Updater des Mobilgeräts, sondern auch ein Auto-Installer, bekannt als Android/PUP.Riskware.Autoins.Redstone.”

Die Entwicklung wurde zuerst vom deutschen Autor und Blogger Günter Born letzte Woche gemeldet.

[Blocked Image: https://thehackernews.com/images/-CTf1MSwldzQ/YGXEz6LA-PI/AAAAAAAA3uc/rCPCs1B8hBI5fgrMcRZGit_0hHWFhVsBQCLcBGAsYHQ/s728-e100/thn-728-3.png]

Während das Problem hauptsächlich Gigaset-Telefone zu betreffen scheint, scheinen auch Geräte von einer Handvoll anderer Hersteller betroffen zu sein. Die vollständige Liste der Geräte, bei denen der Auto-Installer vorinstalliert ist, umfasst Gigaset GS270, Gigaset GS160, Siemens GS270, Siemens GS160, Alps P40pro und Alps S20pro+.

Laut Malwarebytes installiert die Update-App drei verschiedene Versionen eines Trojaners (“Trojan.Downloader.Agent.WAGD”), der in der Lage ist, SMS- und WhatsApp-Nachrichten zu versenden, Benutzer auf bösartige Spiele-Websites umzuleiten und zusätzliche mit Malware verseuchte Apps herunterzuladen.

[Blocked Image: https://thehackernews.com/images/-hgrI9oj1eiQ/YG1Zz9TLGJI/AAAAAAAACME/Y9SM4KCeGUQ65Gljy5OYl21ZG_1TW864wCLcBGAsYHQ/s0/malware.jpg]

“Die bösartigen WhatsApp-Nachrichten dienen höchstwahrscheinlich dazu, die Infektion auf andere mobile Geräte weiter zu verbreiten”, so Collier.

Benutzer haben auch berichtet, dass ein zweiter Trojaner namens “Trojan.SMS.Agent.YHN4” auf ihren mobilen Geräten auftaucht, nachdem sie auf Gaming-Websites gelandet sind, die vom oben erwähnten WAGD-Trojaner umgeleitet wurden, der dessen SMS- und WhatsApp-Nachrichtenfunktionalität widerspiegelt, um die Malware zu verbreiten.

Im Gegensatz zu Apps von Drittanbietern, die aus dem Google Play Store heruntergeladen wurden, können System-Apps nicht einfach von mobilen Geräten entfernt werden, ohne auf Tools wie Android Debug Bridge (ADB) zurückzugreifen.

[Blocked Image: https://thehackernews.com/images/-bvTgvb1scMU/YGXEzvWWDTI/AAAAAAAA3uU/FkCk24WAH8gQPV-lbOs4cDw_tp2ug151QCLcBGAsYHQ/s728-e100/thn-728-1.png]

Gigaset seinerseits bestätigte den Malware-Angriff und gab an, dass ein Update-Server, der von Gigaset-Geräten zum Abrufen von Software-Updates verwendet wird, kompromittiert wurde und dass nur Geräte betroffen waren, die sich auf diesen speziellen Update-Server verlassen. Das Unternehmen hat das Problem inzwischen behoben und wird voraussichtlich ein Update veröffentlichen, um die Malware von infizierten Telefonen zu entfernen, so Born.

Die Entwicklung kommt eine Woche, nachdem Cybersecurity-Forscher eine neue Android-Malware aufgedeckt haben, die Fotos, Videos und GPS-Standorte von Nutzern stiehlt, indem sie eine betrügerische Benachrichtigung sendet, die sich als “System-Update” ausgibt und “nach einem Update sucht.”

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com