Wirus atakuje wybrane smartfony i nabija rachunki sięgające tysięcy złotych. Pilne ostrzeżenie
Zidentyfikowano nową kampanię dystrybucji złośliwego oprogramowania, która objęła także Polskę. Zagrożeni są przede wszystkim użytkownicy starszych smartfonów z Androidem. Skutki zainfekowania mogą być bardzo dotkliwe – szkodniki potajemnie wykonują połączenia, „nabijając” przy tym ogromne rachunki.
Wirus generuje gigantyczne rachunki
CERT Orange ostrzega, że w eterze pojawiło się szkodliwe oprogramowanie, które bez wiedzy użytkownika wykonuje w tle połączenia. Co więcej, są to w dużej części połączenia z numerami spoza Unii Europejskiej, przez co do ich realizacji wykorzystywany jest roaming. To automatycznie winduje koszty i może doprowadzić do tego, że rachunki za telefon mogą być horrendalne.
Złośliwa aplikacja rozpoznawała, kiedy telefon jest używany i wykonywała połączenia, gdy urządzenie było w stanie spoczynku, zazwyczaj w nocy. O ile w momencie nawiązywania połączenia użytkownik mógłby to dostrzec (gdyby akurat „przyłapał” szkodnika), tak późniejsze rozeznanie było niemożliwe – program sam usuwał rekord z historii połączeń. Dlatego o samym problemie zainfekowani dowiadywali się, gdy trzeba było uiścić rachunek opiewający nawet na kilka tysięcy złotych.
Te popularne PIN-y są najsłabszą ochroną. Złamanie ich to dla hakerów betkaW jaki sposób działa ten szkodnik?
Jaką korzyść mieli z tego sami napastnicy? Najpewniej numery, z którymi nawiązywano połączenie bez wiedzy użytkownika, należały właśnie do nich. Może to być numer specjalny, np. taki jaki wykorzystuje się do połączeń np. z grami telewizyjnym, dzięki czemu nawiązanie z nim połączenia kosztuje znacznie więcej niż normalne stawki, a pieniądze trafiały bezpośrednio do atakujących.
Osobną kwestię stanowi to, jak złośliwe oprogramowanie w ogóle znalazło się na smartfonach. Wykorzystywana miała być stara, bo odnaleziona w 2020 roku, podatność w procesorach MediaTeka, która zresztą od dawna jest załatana. Niestety, stosowna łatka bezpieczeństwa nigdy nie trafiła na starsze smartfony z Androidem, które do dziś pozostają podatne. CERT przy Orange poinformował, że mowa leciwych smartfonach, na których zainstalowany jest Android od wersji 4.4 do 7.1, czyli nieaktualizowanych od co najmniej 5 lat.
Dzięki wykorzystaniu podatności można ominąć zabezpieczenia SELinuksa i z użyciem dziury w kontrolerze MediaTek Command-Queue można eskalować uprawnienia do najwyższych zdalnie i bez jakiejkolwiek interakcji z użytkownikiem. W ten sposób napastnik może zrobić z telefonem w zasadzie wszystko. Co gorsza, nawet przywrócenie urządzenia od ustawień fabrycznych nie gwarantuje, że malware zostanie usunięte.
Lista aplikacji i szczególnie zagrożonych urządzeń
Aby zorientować się, czy urządzenie jest zagrożone, można przeszukać listę zainstalowanych programów pod kątem następujących aplikacji: System Core, LEAGOO Share, Mini World, bizayt, com.htfz.emfp, haaia, com.kkks.jmba, com.ldkv.ex.xm.gbbz, DCShare, com.zhyw.uqak.
Pewnym pocieszeniem w tej sytuacji, choć zapewne nie dla tych, którzy musieli zapłacić operatorowi tysiące złotych, jest to, że zagrożenie dotyczy starszych modeli urządzeń niszowych producentów, najczęściej tanich urządzeń, choć nie brakuje wyjątków. CERT Orange udostępnił ich listę zagrożonych smartfonów. Są to:
Realtek Kiano_Elegance_32
LEAGOO Alfa 5
Alba Alba 6
Archos Archos Core 55S
OV-Vertis
K0708 CX-786
JESY J9S
K0790 K77
Wintouch K77
FULCOL K900
Kruger_Matz Kruger&Matz Drive 5
Kruger_Matz MOVE_6_mini
S-TELL P850
Fly Photo Pro
Libre W808
myPhone Pocket_2
alps note9 pro
Alps P33Pro
Spreadtrum PRO5023POE01
Hisense Hisense C20
Xiaomi Redmi Note 3
Alps P43pro
Powyższa lista powinna zwrócić naszą uwagę ze względu na trzech producentów: Kruger&Matz, myPhone oraz Xiaomi. Dwaj pierwsi to bowiem firmy z Polski, które zlecają w Chinach produkcję swoich urządzeń i dystrybuują je na polskim rynku, co zwiększa prawdopodobieństwo, że ktoś w Polsce nadal z nich korzysta. Zagrożeni są też posiadacze Xiaomi Redmi Note 3, modelu, który swojego czasu cieszył się nad Wisłą ogromną popularnością.