Gigaset 社の Android スマートフォンが、サプライチェーン攻撃と思われる、メーカーから直接送られてきたマルウェアに感染した。
研究者やユーザーによると、このトロイの木馬は、ベンダーからの汚染されたソフトウェアアップデートによって被害者のデバイスにダウンロードされインストールされると、ブラウザウィンドウを開いたり、さらに悪質なアプリを取得したり、マルウェアをさらに拡散させるためにテキストメッセージを送信したりする能力を持つという。
ドイツからの報告によると、悪意のあるアップデートは 4 月 1 日に配信されたようです。
Heiseの同僚たちも感染の波について報告していますが、執筆時点では犯人は特定されていません。Heiseは今朝、「恒久的な削除は通常失敗する」と述べ、永続的なソフトウェアマルウェアの削除は困難であることを示しています。また、Gigasetの「品質保証部門」が「同社のアップデートサーバーがマルウェアを配信した」ことを確認したと付け加えています。
ギガセットはニュースサイトに対し、今回のインシデントは「古いデバイス」にのみ影響し、詳細は近日中に発表すると述べた。同社のフォーラムにアクセスすると、記事執筆時点では「メンテナンスのためダウン」している、あるいはダウンしていたことがわかる。
ITは今や中間ターゲットの略語:顧客を狙うスヌープにテクノロジープロバイダーが乗っ取られる - レポート
続きを読む
マルウェアバイトによると、ミュンヘンに拠点を置くこの企業は、以前はシーメンス・ホーム・アンド・オフィス・コミュニケーションズ・デバイスとして知られていました。このウイルス対策企業は、Gigasetから発信された2つのマルウェアをAndroid/Trojan.Downloader.Agent.WAGDとAndroid/Trojan.SMS.Agent.YHN4として特定しました。
攻撃ベクトルは、com.redstone.ota.ui として識別されるシステムアップデートアプリケーションです。Malwarebytes の Nathan Collier 氏は、犯罪者がトロイの木馬を配布するために Gigaset のアップデートサーバーに侵入したのではないかと投稿で推測していますが、Heise 氏の報告とこの Google サポートスレッドは、このシナリオを裏付けています。
マルウェアを正常に消去する、かなり複雑なアンインストール方法が上記のリンクから入手できます (コマンドライン作業に慣れていない場合は、おそらく適していません)。
昨日公開されたGigasetのドイツ語企業ブログの記事では、病院のITセキュリティの弱点を突いて犯罪者が病院に侵入した経緯が詳しく語られていました。タイミングが良かったですね。
そして、私たちがこの記事を掲載しようとしていたまさにその日、エル・レグ紙への声明の中で、ギガセットの広報担当上級副社長ラファエル・ドール氏は次のように語った。
さらなる情報を待つ間、オプションまたは必要な場合、最も安全な非技術的な解決策は、感染の可能性があるデバイスの電源をオフにし、バッテリーと SIM を取り外すことです。®
