Wirus atakuje wybrane smartfony i nabija rachunki sięgające tysięcy złotych. Pilne ostrzeżenie
Zidentyfikowano nową kampanię dystrybucji złośliwego oprogramowania, która objęła także Polskę. Zagrożeni są przede wszystkim użytkownicy starszych smartfonów z Androidem. Skutki zainfekowania mogą być bardzo dotkliwe – szkodniki potajemnie wykonują połączenia, „nabijając” przy tym ogromne rachunki.
Wirus generuje gigantyczne rachunki
CERT Orange ostrzega, że w eterze pojawiło się szkodliwe oprogramowanie, które bez wiedzy użytkownika wykonuje w tle połączenia. Co więcej, są to w dużej części połączenia z numerami spoza Unii Europejskiej, przez co do ich realizacji wykorzystywany jest roaming. To automatycznie winduje koszty i może doprowadzić do tego, że rachunki za telefon mogą być horrendalne .
Złośliwa aplikacja rozpoznawała, kiedy telefon jest używany i wykonywała połączenia, gdy urządzenie było w stanie spoczynku, zazwyczaj w nocy. O ile w momencie nawiązywania połączenia użytkownik mógłby to dostrzec (gdyby akurat „przyłapał” szkodnika), tak późniejsze rozeznanie było niemożliwe – program sam usuwał rekord z historii połączeń . Dlatego o samym problemie zainfekowani dowiadywali się, gdy trzeba było uiścić rachunek opiewający nawet na kilka tysięcy złotych.
W jaki sposób działa ten szkodnik?
Jaką korzyść mieli z tego sami napastnicy? Najpewniej numery, z którymi nawiązywano połączenie bez wiedzy użytkownika, należały właśnie do nich. Może to być numer specjalny, np. taki jaki wykorzystuje się do połączeń np. z grami telewizyjnym, dzięki czemu nawiązanie z nim połączenia kosztuje znacznie więcej niż normalne stawki, a pieniądze trafiały bezpośrednio do atakujących .
Osobną kwestię stanowi to, jak złośliwe oprogramowanie w ogóle znalazło się na smartfonach. Wykorzystywana miała być stara, bo odnaleziona w 2020 roku, podatność w procesorach MediaTeka, która zresztą od dawna jest załatana . Niestety, stosowna łatka bezpieczeństwa nigdy nie trafiła na starsze smartfony z Androidem, które do dziś pozostają podatne. CERT przy Orange poinformował, że mowa leciwych smartfonach, na których zainstalowany jest Android od wersji 4.4 do 7.1, czyli nieaktualizowanych od co najmniej 5 lat.
Dzięki wykorzystaniu podatności można ominąć zabezpieczenia SELinuksa i z użyciem dziury w kontrolerze MediaTek Command-Queue można eskalować uprawnienia do najwyższych zdalnie i bez jakiejkolwiek interakcji z użytkownikiem. W ten sposób napastnik może zrobić z telefonem w zasadzie wszystko . Co gorsza, nawet przywrócenie urządzenia od ustawień fabrycznych nie gwarantuje, że malware zostanie usunięte.
Lista aplikacji i szczególnie zagrożonych urządzeń
Aby zorientować się, czy urządzenie jest zagrożone, można przeszukać listę zainstalowanych programów pod kątem następujących aplikacji: System Core, LEAGOO Share, Mini World, bizayt, com.htfz.emfp, haaia, com.kkks.jmba, com.ldkv.ex.xm.gbbz, DCShare, com.zhyw.uqak.
Pewnym pocieszeniem w tej sytuacji, choć zapewne nie dla tych, którzy musieli zapłacić operatorowi tysiące złotych, jest to, że zagrożenie dotyczy starszych modeli urządzeń niszowych producentów, najczęściej tanich urządzeń , choć nie brakuje wyjątków. CERT Orange udostępnił ich listę zagrożonych smartfonów. Są to:
Realtek Kiano_Elegance_32
LEAGOO Alfa 5
Alba Alba 6
Archos Archos Core 55S
OV-Vertis
K0708 CX-786
JESY J9S
K0790 K77
Wintouch K77
FULCOL K900
Kruger_Matz Kruger&Matz Drive 5
Kruger_Matz MOVE_6_mini
S-TELL P850
Fly Photo Pro
Libre W808
myPhone Pocket_2
alps note9 pro
Alps P33Pro
Spreadtrum PRO5023POE01
Hisense Hisense C20
Xiaomi Redmi Note 3
Alps P43pro
Powyższa lista powinna zwrócić naszą uwagę ze względu na trzech producentów: Kruger&Matz, myPhone oraz Xiaomi.
Dwaj pierwsi to bowiem firmy z Polski
, które zlecają w Chinach produkcję swoich urządzeń i dystrybuują je na polskim rynku, co zwiększa prawdopodobieństwo, że ktoś w Polsce nadal z nich korzysta. Zagrożeni są też posiadacze Xiaomi Redmi Note 3, modelu, który swojego czasu cieszył się nad Wisłą ogromną popularnością.