CERT Orange ostrzega przed złośliwymi aplikacjami, które bez wiedzy użytkownika generują w tle płatny ruch. Kończy się to kosmicznymi rachunkami za połączenia, których nie było. Te aplikacje musicie usunąć.
Na stronie CERT Orange czytamy, że zaczęło się od skarg klientów, którzy zaprzeczali, że wykonywali serie zagranicznych połączeń. W większości był to ruch do krajów spoza Unii Europejskiej i Europejskiego Obszaru Gospodarczego. Eksperci bezpieczeństwa z sieci zbadali zainfekowany telefon i wskazują, jakie aplikacje są niebezpieczne i jakie modele telefonów są zagrożone.
Wirus działa w chwilach, kiedy telefon jest odkładany najdłużej (zwykle na czas snu) i wykonuje połączenia, które potem kasuje z rejestru bądź używa własnej nakładki, przez co są niewidoczne. Poszkodowani dowiadywali się o tym, dopiero kiedy zobaczyli wysokie rachunki.
CERT Orange Polska opublikował listę aplikacji, które usiłowały skontaktować się z botnetem (w nawiasie nazwa aplikacji widoczna dla użytkownika):
Modele urządzeń, na których były zainstalowane, przedstawiały się natomiast jako:
Jeśli na liście znajdziesz swój telefon lub rozpoznasz aplikację, musisz przywrócić urządzenie do ustawień fabrycznych. Jak informują specjaliści od cyberbezpieczeństwa, skasowana aplikacja po restarcie urządzenia powraca.
Co ciekawe, zainfekowane były również telewizory i przystawki Android TV poniższych serii:
W ich wypadku nie ma ryzyka, że wykonają niepożądane połączenie. Niestety użytkownicy telefonów otrzymywali nawet czterocyfrowe kwoty do opłacenia, jak informuje CERT Orange. Część pieniędzy trafiała na konta przestępców. Jak to działa?
To działanie znane jako IRSF (International Revenue Share Fraud), oszustwo polegające na dzieleniu zysków z połączeń międzynarodowych. Są dwie wersje takiego przekrętu.
W pierwszej oszuści są właścicielami numerów, na które złośliwe aplikacje kierują połączenia. Na bazie umowy ze swoim operatorem dzielą się procentowo zyskiem z połączenia międzynarodowego.
W drugim wariancie jest to świadome działanie małego operatora, który zarabia na naszych wysokich rachunkach.
"Złośliwe aplikacje korzystały m.in. z podatności CVE-2020-0069 na procesory MediaTek. Pozwala ona na lokalną eskalację uprawnień bez interakcji z użytkownikiem. Mówiąc prościej – wykorzystująca tę podatność aplikacja mogła "zrootować" telefon, czyli uzyskać dostęp administratorski, de facto przełamując zabezpieczenia systemu" – czytamy na CERT Orange. Tym sposobem przestępca przejmuje dosłownie nasz telefon.
Jest to jednak trudne, jeśli mamy najnowsze wersje systemu Android. Jak pokazuje raport Orange, zainfekowane telefony miały wersje systemu operacyjnego wahające się od Androida 4.4 do 8.1. To przedział od 2014 do 2017 roku.
Obecna wersja systemu Android ma numer 14. W nowym sofcie, ochrzczonym "ciastem do góry nogami" (każda kolejna wersja oprogramowania ma swoją gastronomiczną ksywkę – red.) podstawową zmianą jest właśnie zwiększone cyberbezpieczeństwo.