BiznesINFO.pl Technologie Wirus atakuje wybrane smartfony i nabija rachunki sięgające tysięcy złotych. Pilne ostrzeżenie
Fot. Jake Walker, Jonas Leupe / Unsplash

Wirus atakuje wybrane smartfony i nabija rachunki sięgające tysięcy złotych. Pilne ostrzeżenie

31 października 2023
Autor tekstu: Maciej Olanicki

Zidentyfikowano nową kampanię dystrybucji złośliwego oprogramowania, która objęła także Polskę. Zagrożeni są przede wszystkim użytkownicy starszych smartfonów z Androidem. Skutki zainfekowania mogą być bardzo dotkliwe –  szkodniki potajemnie wykonują połączenia, „nabijając” przy tym ogromne rachunki.

Wirus generuje gigantyczne rachunki

CERT Orange ostrzega, że w eterze pojawiło się szkodliwe oprogramowanie, które bez wiedzy użytkownika wykonuje w tle połączenia. Co więcej, są to w dużej części połączenia z numerami spoza Unii Europejskiej, przez co do ich realizacji wykorzystywany jest roaming. To automatycznie winduje koszty i może doprowadzić do tego, że rachunki za telefon mogą być horrendalne .

Złośliwa aplikacja rozpoznawała, kiedy telefon jest używany i wykonywała połączenia, gdy urządzenie było w stanie spoczynku, zazwyczaj w nocy. O ile w momencie nawiązywania połączenia użytkownik mógłby to dostrzec (gdyby akurat „przyłapał” szkodnika), tak późniejsze rozeznanie było niemożliwe – program sam usuwał rekord z historii połączeń . Dlatego o samym problemie zainfekowani dowiadywali się, gdy trzeba było uiścić rachunek opiewający nawet na kilka tysięcy złotych.

Te popularne PIN-y są najsłabszą ochroną. Złamanie ich to dla hakerów betka

W jaki sposób działa ten szkodnik?

Jaką korzyść mieli z tego sami napastnicy? Najpewniej numery, z którymi nawiązywano połączenie bez wiedzy użytkownika, należały właśnie do nich. Może to być numer specjalny, np. taki jaki wykorzystuje się do połączeń np. z grami telewizyjnym, dzięki czemu nawiązanie z nim połączenia kosztuje znacznie więcej niż normalne stawki, a pieniądze trafiały bezpośrednio do atakujących .

Osobną kwestię stanowi to, jak złośliwe oprogramowanie w ogóle znalazło się na smartfonach. Wykorzystywana miała być stara, bo odnaleziona w 2020 roku, podatność w procesorach MediaTeka, która zresztą od dawna jest załatana . Niestety, stosowna łatka bezpieczeństwa nigdy nie trafiła na starsze smartfony z Androidem, które do dziś pozostają podatne. CERT przy Orange poinformował, że mowa leciwych smartfonach, na których zainstalowany jest Android od wersji 4.4 do 7.1, czyli nieaktualizowanych od co najmniej 5 lat.

Dzięki wykorzystaniu podatności można ominąć zabezpieczenia SELinuksa i z użyciem dziury w kontrolerze MediaTek Command-Queue można eskalować uprawnienia do najwyższych zdalnie i bez jakiejkolwiek interakcji z użytkownikiem. W ten sposób napastnik może zrobić z telefonem w zasadzie wszystko . Co gorsza, nawet przywrócenie urządzenia od ustawień fabrycznych nie gwarantuje, że malware zostanie usunięte.

Lista aplikacji i szczególnie zagrożonych urządzeń

Aby zorientować się, czy urządzenie jest zagrożone, można przeszukać listę zainstalowanych  programów pod kątem następujących aplikacji: System Core, LEAGOO Share, Mini World, bizayt, com.htfz.emfp, haaia, com.kkks.jmba, com.ldkv.ex.xm.gbbz, DCShare, com.zhyw.uqak.

Pewnym pocieszeniem w tej sytuacji, choć zapewne nie dla tych, którzy musieli zapłacić operatorowi tysiące złotych, jest to, że zagrożenie dotyczy starszych modeli urządzeń niszowych producentów, najczęściej tanich urządzeń , choć nie brakuje wyjątków. CERT Orange udostępnił ich listę zagrożonych smartfonów. Są to:

Realtek Kiano_Elegance_32
LEAGOO Alfa 5
Alba Alba 6
Archos Archos Core 55S
OV-Vertis
K0708 CX-786
JESY J9S
K0790 K77
Wintouch K77
FULCOL K900
Kruger_Matz Kruger&Matz Drive 5
Kruger_Matz MOVE_6_mini
S-TELL P850
Fly Photo Pro
Libre W808
myPhone Pocket_2
alps note9 pro
Alps P33Pro
Spreadtrum PRO5023POE01
Hisense Hisense C20
Xiaomi Redmi Note 3
Alps P43pro

Powyższa lista powinna zwrócić naszą uwagę ze względu na trzech producentów: Kruger&Matz, myPhone oraz Xiaomi. Dwaj pierwsi to bowiem firmy z Polski , które zlecają w Chinach produkcję swoich urządzeń i dystrybuują je na polskim rynku, co zwiększa prawdopodobieństwo, że ktoś w Polsce nadal z nich korzysta. Zagrożeni są też posiadacze Xiaomi Redmi Note 3, modelu, który swojego czasu cieszył się nad Wisłą ogromną popularnością.

Ostrzeżenie na smartfonach Huawei: „Google to złośliwa aplikacja”. O co chodzi?
Obserwuj nas w
autor
Maciej Olanicki

Dziennikarz biznesinfo.pl. W przeszłości redaktor prowadzący dobreprogramy.pl, miesięcznika „IT Professional”, współpracownik Wirtualnej Polski. Adres dla sygnalistów: olanicki@protonmail.com.
 

Chcesz się ze mną skontaktować? Napisz adresowaną do mnie wiadomość na mail: Dariusz.dziduch@iberion.pl
biznes finanse technologie praca handel Eko Energetyka polska i świat