Masz telefon ze starym Androidem? Uważaj na wysoki rachunek!
Niedawno na łamach tej strony ostrzegaliśmy Was przed aplikacjami mobilnymi nadużywającymi uprawnień i generującymi bez wiedzy użytkownika w tle płatny ruch, a w efekcie – wysoki rachunek za telefon. W nasze ręce, dzięki uprzejmości jednego z klientów, trafił zainfekowany telefon. Wiemy o jakie aplikacje chodzi!
Krótko przypomnijmy. Zaczęło się od sytuacji, gdy w sieci pojawiło się kilkoro klientów z serią podejrzanych połączeń. Klienci zaprzeczali, by je wykonywali. W sporej części połączenia miały miejsce do krajów spoza Unii Europejskiej/Europejskiego Obszaru Gospodarczego, zdarzały się jednak również wewnątrz UE. W związku z tym wiązały się z (zazwyczaj niemałymi) kosztami. Warto bowiem pamiętać, że o ile roaming (jeśli go nie nadużywamy) jest darmowy, połączenia wewnątrz Unii są płatne.
Charakterystyka aktywności wskazywała na działalność złośliwego oprogramowania, więcej dowiedzieliśmy się jednak dopiero po analizie jednego z zainfekowanych urządzeń. Niestety – jeśli na liście, którą znajedziesz na końcu tego artykułu, znajdziesz swój telefon lub rozpoznasz aplikację, czeka Cię reset urządzenia do ustawień fabrycznych! Choć może się wydawać, że ją usunęliśmy, po restarcie urządzenia wraca!
Ja Cię kocham nabijam wysoki rachunek, a Ty śpisz!
Co robił malware na urządzeniach ofiar? Czekał na moment, gdy telefon był na dłużej odkładany (zazwyczaj po prostu na noc) i wykonywał opisywane wyżej płatne połączenia. Gdyby akurat w tym momencie użytkownik miał telefon w ręku, widziałby, że ten bez żadnej interakcji nagle zaczyna dzwonić za granicę! Dlaczego nie widział tego rano? Bowiem nie było ich w rejestrze. Aplikacja mogła je zeń usunąć, ale mogła też skorzystać do dzwonienia z własnej nakładki. Ofiara mogła je zobaczyć co najwyżej na billingu, gdy zorientowała się, że coś jest nie tak. Wtedy już jednak część tego, co miała zapłacić, trafiała na konta przestępców.
Dlaczego? To działanie znane jako IRSF (International Revenue Share Fraud), oszustwo polegające na dzieleniu zysków z połączeń międzynarodowych. W jednej wersji – oszuści są właścicielami numerów, na które kierują opisywane połączenia i na bazie umowy z operatorem dzielą się procentowo zyskiem. W drugiej – mały operator jest w pełni świadomy tego co się dzieje, samemu na tym korzystając. Ofiarę mogło to kosztować nawet czterocyfrowe kwoty do zapłacenia, o których orientowała się dopiero otrzymując wysoki rachunek.
Jak to się działo?
Złośliwe aplikacje korzystały m.in. z podatności CVE-2020-0069 na procesory MediaTek. Pozwala ona na lokalną eskalację uprawnień bez interakcji z użytkownikiem. Mówiąc prościej – wykorzystująca tę podatność aplikacja mogła „zrootować” telefon, czyli uzyskać dostęp administratorski, de facto przełamując zabezpieczenia systemu. Nie jest jednak wykluczone, że opisywane złośliwe oprogramowanie może wykorzystywać również inne podatności.
W takiej sytuacji tak naprawdę telefon przestaje być nasz.
Bez odrobiny przesady. Przestępca może robić na nim wszystko, m.in. (ale nie tylko) dzwonić i usuwać rozmowy z rejestru. Może też podglądać, co robimy na telefonie, wykradać hasła z aplikacji, podstawiać nam nakładki na aplikacje bankowe… Opisywane aplikacje jednak poprzestawały prawdopodobnie na wykonywaniu rozmów, czego efektem był wysoki rachunek.
Co więcej, przełamanie zabezpieczeń telefonu w opisywany sposób byłoby dla nich niemożliwe w przypadków nowszych wersji systemu Android, gdzie dbałość o bezpieczeństwo z iteracji na iterację jest coraz wyższa. Jak nowszych? Spośród urządzeń w sieci Orange Polska, które usiłowały nawiązać kontakt z serwerami C&C botnetu (oczywiście zablokowanymi przez CyberTarczę) wersja systemu operacyjnego wahała się od Androida 4.4 (!) do 8.1. To systemy, które miały premierę 2014 i w 2017 roku!!! W przypadku nisko-średniopółkowych urządzeń z systemem Android z tamtych czasów otrzymywały one jedną, w wyjątkowych przypadkach dwie „duże” aktualizacje systemu. Obecna wersja Androida oznaczona jest liczbą 14.
Na jakie aplikacje uważać?
Lista oczywiście nie jest zamknięta, mamy jednak pewność, że poniższe aplikacje usiłowały skontaktować się z botnetem (w nawiasie nazwa aplikacji widoczna dla użytkownika):
- com.android.system.ultimate (System Core)
- com.android.wifi.ptop (LEAGOO Share)
- com.bbqbar.browser.test (Mini World)
- com.biz.ayt (bizayt)
- com.htfz.emfp (com.htfz.emfp)
- com.init.env (ev)
- com.izpgo.haaia (haaia)
- com.kkks.jmba (com.kkks.jmba)
- com.ldkv.ex.xm.gbbz (com.ldkv.ex.xm.gbbz)
- com.mediatek.factorymode (FactoryTest)
- com.stkj.android.dianchuan (DCShare)
- com.zhyw.uqak (com.zhyw.uqak)
Modele urządzeń, na których były zainstalowane przedstawiały się natomiast jako:
- Realtek Kiano_Elegance_32
- LEAGOO Alfa 5
- Alba Alba 6
- Archos Archos Core 55S
- OV-Vertis
- K0708 CX-786
- JESY J9S
- K0790 K77
- Wintouch K77
- FULCOL K900
- Kruger_Matz Kruger&Matz Drive 5
- Kruger_Matz MOVE_6_mini
- S-TELL P850
- Fly Photo Pro
- Libre W808
- myPhone Pocket_2
- alps note9 pro
- Alps P33Pro
- Spreadtrum PRO5023POE01
- Hisense Hisense C20
- Xiaomi Redmi Note 3
- Alps P43pro
Powyższe modele to telefony lub tablety, zaś poniżej znajdziemy… telewizory i przystawki Android TV (w ich przypadku nie ma przynajmniej ryzyka, że zadzwonią…):
- Amlogic Q96MAX
- Realtek RealtekATV
- Android SMART_TV
- HK smartTv
- Realtek smartTv
- Amlogic X96Q
- Archos Archos Core 55S
- Android BRK-C01
- Amlogic X96Q
Więcej podatnych urządzeń znajdziecie w poświęconym im wątku w serwisie XDA Developers. Warto zaznaczyć, że przytoczone przez nas urządzenia były zainfekowane, ale nie oznacza to, że każde z nich było również uprzednio zrootowane.
Serwery Command&Control
*.1g5k5w.com216.118.228.25342gixk.98kk89.com9vzn29.98kk89.com
nzxsxn.98kk89.com*.aaodp.com9vyzdk8.lvditoys.com
p8ydfra.lvditoys.com
*.xjwi5.com
*.qz94.com
jesli ma sie zablokowane u operatora numery premium to chyba nas ochroni w takim wypadku? podobnie z uzytkownikami telefonow na karte, tu jedynie abonamentowcy moga byc wysysani w tysiace
Co do 1) – malware dzwoni na numery zwykłe, więc blokada Premium nic tu nie da. Ale fakt, w przypadku prepaida co najwyżej „wyssie” to, co przedpłacone.
Ewidentnie wpadka po stronie operatora. Takie anomalie powinny być od razu wykrywane a użytkownik informowany. Domyślnie też wszystkie usługi premium powinny mieć nie tylko blokadę, ale i jakiś sensowny limit wynikający z historii użytkownika, a nie pozwalać nagle nabijać rachunek na tysiące. W bankach takie podejrzane transakcje od razu zostały by zablokowane, wiec póki operatorzy nie będą mieli podobnych procedur to nie powinni świadczyć usług premium. Też na start sporo mogła by zmienić oddzielna blokada dla zagranicznych usług premium, tak by osoby korzystające z nich w Polsce nie były aż tak łatwym celem.
To nie były numery premium. To były zwykłe zagraniczne numery. Premium da się odciąć/zalimitować.
tak. operator też powinien się ogarnąć, bo nie można się uśmiechać kiedy kupa spływa po twarzy
operator nie wyciąga wniosków po fakcie i po kilku zgłoszeniach od klientów nie robi nic aby spam zablokować centralnie. i nie mówcie mi że się nie da
Gdyby się nie dało, to nie byłoby tego tekstu. W przypadku sieci Orange Polska zainfekowane telefony nie połączą się z przestępcami, ponieważ CyberTarcza blokuje ich domeny. Po prostu nie wszędzie da się blokować. Co miałby blokować operator w tym przypadku? Dostęp do sieci z telefonów z podatnym procesorem i starym systemem operacyjnym? Nie bardzo :/
Nie da się przewidzieć wszystkich błędów =kreatywności hakerów. Jednakże błąd / dziura w systemie musi być i to spora skoro można wykorzystać ja do przejęcia urządzeń w bardzo szybki sposób. Tylko się cieszyć że hakerzy dzwonią a nie pobierają kasę z kont, dane osobowe i inne rzeczy. Jak przeciwdziałać? Operatorzy mogliby wprowadzić opcje ustawiana na koncie klienta. Użytkownik podczas bardzo długier rozmowy np po 45min ( czas do ustawienia ) byłby proszony przez bota o wciśnięcie na klawiaturze konkretnej cyfry. Gdy tego nie zrobi rozmowa byłaby rozłączana. To user decyduje czy ustawia to zabezpieczenie czy nie. Reszta jest milczeniem 😉
Między innymi przez takie akcje przez całe życie jadę na prepaid i nawet nie do końca rozumiem ludzi na abonamencie. Nigdy nie znalazłem oferty abonamentowej (nie ważne czy z telefonem czy bez) która przebiła by ekonomicznie normalny zakup telefonu w sklepie (nawet na raty) i korzystanie z prepaid. Kiedyś można było powiedzieć że doładowania są upierdliwe, ale teraz przecież można sobie ustawić doładowanie cykliczne. Prepaid to jedyna słuszna droga 😉
Płacę 20zł na miesiąc, mam wszystko w cenie, nie musze nic doładowywać bo nic nie brakuje – nawet tego nie wykorzystam (roamingi, UE, nadmiar internetu itp). Mam fakturę na firmę (wygodnie się księguje). Do tego kupiłem z tym abonamentem dwa lata temu telefon samsung S poniżej ceny rynkowej (tj było ciut taniej niż NAJTAŃSZA w internetach od normalnych sprzedawców jak szukałem, tj. z fakturą) i to w ratach płatny (oczywiście 0% to wychodzi)). Ale nie piszę że abonament to jedynie słuszna droga.
Z takim problemem byłem w Orange. Połączenia do Hiszpanii. Pani sprawdziła w komputerze – no tak, dzwonił Pan. Nie, nie dzwoniłem. Niech mi Pani wyłączy możliwość dzwonienia na numery zagraniczne.
Niestety, nie mogę tego zrobić.
Na szczęście nie mam abonamentu i zezarło mi tylko ok. 20pln. Kupiłem nowy telefon i problem rozwiązany.
Sytuacja miała miejsce w ’21 roku w październiku… Telefon Cubot Echo. Tak więc operatorzy wiedzą o sytuacji od 2021 roku od jesieni… No comment…
O właśnie. Zwrot „kupiłem nowy telefon” jest tutaj kluczem. Pytanie, na serio – co w Twojej opinii powinien zrobić operator? Co do wyłączania zagranicznych – nie wiem, tym się nie zajmujemy jako CERT, zaznaczam od razu. Co w takim razie zrobić? Zablokować możliwość korzystania z telefonów mało znanych firm ze starym Androidem i podatnym procesorem? Przecież wiadomo, że tak nie można. Można tylko edukować i blokować infrastrukturę złych ludzi. Robimy jedno i drugie.
Dokładnie miałam taką samą sytuację już dawno temu, składałam reklamację nawet przez Rzecznika Praw Konsumenta nie uznali mi jej i tak musiałam zapłacić. Sieć T-Mobile. Nic z tym nie robią bo też mają z tego procederu kasę. Miałam tel. Na abonament i dużo mnie to kosztowało.
Nie mają. Tzn. Orange nie. Mają ci docelowi.
Ciekawe, że na liście podatnych urządzeń brak popularnych firm samsung i huawei o apple nawet nie mówiąc. Czy to wynik tego, że nie zaspali z aktualizacją systemu u swoich użytkowników? Będę mieć kolejny argument do cyklicznego tłumaczenia starszym osobom w rodzinie „ale po co nam w ogóle te aktualizacje”.
Podatność była na Mediateki. Samsung/Hua to Snapdragony i Kiriny. No chyba, że ktoś niezależnie od procka po prostu zainstalował apkę.