Le constructeur de smartphones à bas prix Gigaset a été victime d'une supply chain attack. Résultat : son serveur envoie des malwares aux smartphones de ses clients. Heureusement, seuls les vieux modèles de la marque semblent touchés.

Des malwares réinstallés en boucle : voici la mésaventure vécue par plusieurs propriétaires de smartphones Android de la marque Gigaset depuis le 27 mars 2021, d’après le Bleeping Computer le 7 avril. Ces malwares sont de plusieurs sortes :

  • Des « adwares », qui vont afficher des publicités partout sur le smartphone de la victime, une façon commune pour les hackers de générer des revenus.
  • Des « downloaders » qui vont appeler d’autres apps malveillantes, et essayer de les diffuser à d’autres smartphones. Ils peuvent par exemple envoyer des SMS contenant des liens infectés depuis le smartphone de l’utilisateur. Certains utilisateurs affirment avoir ainsi été bannis de WhatsApp pour « activité suspecte ».
  • Des malwares capables de dérober les identifiants : certaines victimes affirment avoir perdu le contrôle de leur compte Facebook suite à l’incident.

Les victimes n’ont pas eu de difficulté à identifier les applications vérolées qui prennent des noms sans signification comme « easenf », « gem » ou « xiaoan ». Les utilisateurs peuvent même désinstaller ces apps malveillantes de façon tout à fait classique, sans procédure particulière… mais elles réapparaissent automatiquement peu après, parfois accompagnées de nouvelles apps.

Une supply chain attack réussie

La cause du phénomène a été identifiée : des hackers sont parvenus à compromettre un des serveurs de mise à jour de Gigaset. Ils ont mis en place ce qu’on appelle dans le jargon une supply chain attack : le serveur compromis diffuse des malwares aux utilisateurs, sous couvert d’une mise à jour légitime. Les smartphones Android ne détectent pas la menace, car elle provient d’une source estampillée comme sûre.

Les hackers privilégient les adwares dans leurs attaques. // Source : Louise Audry pour Numerama

D’après Gigaset, la cyberattaque n’affecte qu’une partie des utilisateurs, et surtout, elle ne toucherait que des modèles anciens de la marque. Le Bleeping Computer liste 6 modèles infectés, l’entreprise en cite 12 autres qui seraient quant à eux épargnés. L’enquête interne ne fait que débuter, et Gigaset promet de premières des contre-mesures dans les 24h à venir : à la fois pour nettoyer son serveur, mais aussi pour nettoyer les smartphones des utilisateurs. En attendant, les victimes les plus débrouillardes n’ont d’autres choix que de désactiver les mises à jour de l’appareil via des commandes accessibles dans les options destinées aux développeurs.

Connue au début des années 2000 sous le nom de Siemens Mobile et BenQ-Siemens, l’entreprise a raté le coche à l’arrivée des smartphones. Aujourd’hui, la marque allemande essaie de se frayer un chemin sur le marché avec des modèles à (très) bas prix. Elle a notamment fait parler d’elle avec un smartphone dédié aux conditions extrêmes et plus récemment par la mise en vente d’un de ses vieux modèles par Lidl. Le GS110, sorti en 2019, était commercialisé en ce début d’année 2021 à seulement 70 euros. Un montant presque trop faible pour ce genre de produit, même s’il existe quelques options convenables dans cette gamme de prix.

Crédit photo de la une : Gigaset GS160

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux