Cyberbezpieczeństwo
Wysoki rachunek? Sprawdź swój telefon
Autor. Ilya Plekhanov/Wikimedia Commons/CC.40
Jeśli korzystacie z urządzeń ze starym Androidem, wasz sprzęt może być zainfekowany złośliwym oprogramowaniem pozwalającym na wykonywanie kosztownych połączeń zagranicznych. Sprawdź, czy twój smartfon jest na liście.
Jak wskazuje CERT Orange, klienci operatora zgłaszali podejrzane połączenia, których nie wykonywali. Mowa przede wszystkim o wykręcaniu numerów spoza UE/Europejskiego Obszaru Gospodarczego, co generowało wysokie koszty. Niebezpiecznik szacuje, że kilka tysięcy Polaków może mieć zainfekowane urządzenia.
Czytaj też
Sprawdź bilingi
Jeden z użytkowników przekazał ekspertom CERT Orange telefon do analizy. Jego zbadanie wykazało, że był zainfekowany złośliwym oprogramowaniem.
„Co robił malware na urządzeniach ofiar? Czekał na moment, gdy telefon był na dłużej odkładany (zazwyczaj po prostu na noc) i wykonywał opisywane wyżej płatne połączenia” – tłumaczą specjaliści.
Co ważne, wykonywanych połączeń nie było w rejestrze. Jedyną szansą na ich ujawnienie okazywało się być prześledzenie bilingu. To za późno i środki trafiały już na konta przestępców w wyniku IRSF (ang. International Revenue Share Fraud). Mówimy o rodzaju oszustwa polegającego na podziale zysków z połączeń zagranicznych.
Ofiarę mogło to kosztować nawet czterocyfrowe kwoty do zapłacenia, o których orientowała się dopiero otrzymując wysoki rachunek.
CERT Polska
Czytaj też
Przejęcie kontroli nad urządzeniem
W ramach incydentu wykorzystywano lukę CVE-2020-0069 na procesory MediaTek. CERT Polska wyjaśnia, że podatność pozwala na rozszerzenie uprawnień (dostęp administratorski) bez żadnego działania ze strony użytkownika. W efekcie sprawcy przejmują kontrolę nad urządzeniem. Mogą nie tylko dzwonić, ale również przeglądać dane, instalować inne aplikacje itd.
Czytaj też
Kogo dotyczy problem?
Opisywana sytuacja dotyczy tylko starszych wersji Androida: od Android 4.4 (2014) do 8.1 (2017). W nowszych poziom bezpieczeństwa jest wyższy.
CERT Polska podaje aplikacje, które stanowią zagrożenie, choć specjaliści zaznaczają, że lista nie jest zamknięta:
- com.android.system.ultimate (System Core)
- com.android.wifi.ptop (LEAGOO Share)
- com.bbqbar.browser.test (Mini World)
- com.biz.ayt (bizayt)
- com.htfz.emfp (com.htfz.emfp)
- com.izpgo.haaia (haaia)
- com.kkks.jmba (com.kkks.jmba)
- com.ldkv.ex.xm.gbbz (com.ldkv.ex.xm.gbbz)
- com.stkj.android.dianchuan (DCShare)
- com.zhyw.uqak (com.zhyw.uqak)
Na jakich urządzeniach były instalowane? Zobaczcie sami:
- Realtek Kiano Elegance 32
- LEAGOO Alfa 5
- Alba Alba 6
- Archos Archos Core 55S
- OV-Vertis
- K0708 CX-786
- JESY J9S
- K0790 K77
- Wintouch K77
- FULCOL K900
- Kruger Matz Kruger&Matz Drive 5
- Kruger Matz MOVE 6 mini
- S-TELL P850
- Fly Photo Pro
- Libre W808
- myPhone Pocket 2
- alps note9 pro
- Alps P33Pro
- Spreadtrum PRO5023POE01
- Hisense Hisense C20
- Xiaomi Redmi Note 3
- Alps P43pro
Problem dotyczy również telewizorów i przystawek Android TV, lecz w tych przypadkach możemy być spokojnie, że nie wykonają połączenia:
- Amlogic Q96MAX
- Realtek RealtekATV
- Android SMART TV
- HK smartTv
- Realtek smartTv
- Amlogic X96Q
- Archos Archos Core 55S
- Android BRK-C01
- Amlogic X96Q
Jeśli Twoje urządzenie lub aplikacja znajduje się na powyższej liście, zresetuj urządzenie poprzez przywrócenie ustawień fabrycznych i zaktualizuj Androida do najnowszej wersji (przynajmniej Android 11). Gdy to niemożliwe, zastanów się poważnie nad zakupem nowego sprzętu.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].
