Na stronie CERT Orange czytamy, że zaczęło się od skarg klientów, którzy zaprzeczali, że wykonywali serie zagranicznych połączeń. W większości był to ruch do krajów spoza Unii Europejskiej i Europejskiego Obszaru Gospodarczego. Eksperci bezpieczeństwa z sieci zbadali zainfekowany telefon i wskazują, jakie aplikacje są niebezpieczne i jakie modele telefonów są zagrożone.

Aplikacje generujące rachunki

Wirus działa w chwilach, kiedy telefon jest odkładany najdłużej (zwykle na czas snu) i wykonuje połączenia, które potem kasuje z rejestru bądź używa własnej nakładki, przez co są niewidoczne. Poszkodowani dowiadywali się o tym, dopiero kiedy zobaczyli wysokie rachunki.

CERT Orange Polska opublikował listę aplikacji, które usiłowały skontaktować się z botnetem (w nawiasie nazwa aplikacji widoczna dla użytkownika):

• com.android.system.ultimate (System Core)
• com.android.wifi.ptop (LEAGOO Share)
• com.bbqbar.browser.test (Mini World)
• com.biz.ayt (bizayt)
• com.htfz.emfp (com.htfz.emfp)
• com.init.env (ev)
• com.izpgo.haaia (haaia)
• com.kkks.jmba (com.kkks.jmba)
• com.ldkv.ex.xm.gbbz (com.ldkv.ex.xm.gbbz)
• com.mediatek.factorymode (FactoryTest)
• com.stkj.android.dianchuan (DCShare)
• com.zhyw.uqak (com.zhyw.uqak)

Modele urządzeń, na których były zainstalowane, przedstawiały się natomiast jako:

• Realtek Kiano_Elegance_32
• LEAGOO Alfa 5
• Alba Alba 6
• Archos Archos Core 55S
• OV-Vertis
• K0708 CX-786
• JESY J9S
• K0790 K77
• Wintouch K77
• FULCOL K900
• Kruger_Matz Kruger&Matz Drive 5
• Kruger_Matz MOVE_6_mini
• S-TELL P850
• Fly Photo Pro
• Libre W808
• myPhone Pocket_2
• alps note9 pro
• Alps P33Pro
• Spreadtrum PRO5023POE01
• Hisense Hisense C20
• Xiaomi Redmi Note 3
• Alps P43pro

Jeśli na liście znajdziesz swój telefon lub rozpoznasz aplikację, musisz przywrócić urządzenie do ustawień fabrycznych. Jak informują specjaliści od cyberbezpieczeństwa, skasowana aplikacja po restarcie urządzenia powraca.

Co ciekawe, zainfekowane były również telewizory i przystawki Android TV poniższych serii: 

• Amlogic Q96MAX
• Realtek RealtekATV
• Android SMART_TV
• HK smartTv
• Realtek smartTv
• Amlogic X96Q
• Archos Archos Core 55S
• Android BRK-C01
• Amlogic X96Q

W ich wypadku nie ma ryzyka, że wykonają niepożądane połączenie. Niestety użytkownicy telefonów otrzymywali nawet czterocyfrowe kwoty do opłacenia, jak informuje CERT Orange. Część pieniędzy trafiała na konta przestępców. Jak to działa?

Metoda na połączenia międzynarodowe

To działanie znane jako IRSF (International Revenue Share Fraud), oszustwo polegające na dzieleniu zysków z połączeń międzynarodowych. Są dwie wersje takiego przekrętu.

W pierwszej oszuści są właścicielami numerów, na które złośliwe aplikacje kierują połączenia. Na bazie umowy ze swoim operatorem dzielą się procentowo zyskiem z połączenia międzynarodowego.

W drugim wariancie jest to świadome działanie małego operatora, który zarabia na naszych wysokich rachunkach.

"Złośliwe aplikacje korzystały m.in. z podatności CVE-2020-0069 na procesory MediaTek. Pozwala ona na lokalną eskalację uprawnień bez interakcji z użytkownikiem. Mówiąc prościej – wykorzystująca tę podatność aplikacja mogła "zrootować" telefon, czyli uzyskać dostęp administratorski, de facto przełamując zabezpieczenia systemu" – czytamy na CERT Orange. Tym sposobem przestępca przejmuje dosłownie nasz telefon.

Jest to jednak trudne, jeśli mamy najnowsze wersje systemu Android. Jak pokazuje raport Orange, zainfekowane telefony miały wersje systemu operacyjnego wahające się od Androida 4.4 do 8.1. To przedział od 2014 do 2017 roku.

Obecna wersja systemu Android ma numer 14. W nowym sofcie, ochrzczonym "ciastem do góry nogami" (każda kolejna wersja oprogramowania ma swoją gastronomiczną ksywkę – red.) podstawową zmianą jest właśnie zwiększone cyberbezpieczeństwo.