Mastodon
Zdjęcie okładkowe wpisu CERT Orange o ataku generującym wysokie rachunki na telefonach z Androidem

CERT Orange o ataku generującym wysokie rachunki na telefonach z Androidem

Dariusz Hałas
0
Dodane: 6 miesięcy temu

Zespół CERT Orange opublikował ciekawe informacje dotyczące niedawnego ataku cyberprzestępczego na smartfony z Androidem (nieco starszymi wersjami). Atak wykorzystywał znaną podatność, polegał na automatycznym dzwonieniu pod drogie zagraniczne numery. Kto jest podatny? Jakie aplikacje są zagrożeniem?

Zacznijmy od samego ataku. Orange zauważył, że w sieci pojawili się klienci wykonujący masowo drogie, zagraniczne połączenia, realizowane w nocy. Sami właściciele dzwoniących telefonów nic jednak o tym nie wiedzieli, a rachunki za połączenia mogły sięgać nawet kilku tysięcy złotych!

Pogłębiona analiza zdarzenia była możliwa dzięki temu, że jeden z klientów Orange dostarczył zespołowi CERT Orange zainfekowany smartfon. Okazało się, że złośliwy kod występował pod następującymi aplikacjami (w nawiasie nazwa aplikacji, jaka jest widoczna dla użytkownika smartfonu):

  • com.android.system.ultimate (System Core)
  • com.android.wifi.ptop (LEAGOO Share)
  • com.bbqbar.browser.test (Mini World)
  • com.biz.ayt (bizayt)
  • com.htfz.emfp (com.htfz.emfp)
  • com.init.env (ev)
  • com.izpgo.haaia (haaia)
  • com.kkks.jmba (com.kkks.jmba)
  • com.ldkv.ex.xm.gbbz (com.ldkv.ex.xm.gbbz)
  • com.mediatek.factorymode (FactoryTest)
  • com.stkj.android.dianchuan (DCShare)
  • com.zhyw.uqak (com.zhyw.uqak)

Złośliwy kod ukryty w rzeczonych aplikacjach wykorzystywał znaną lukę CVE-2020-0069 dotyczącą procesorów MediaTek (a tym samym smartfonów, w których podatne chipsety odpowiadały za moc obliczeniową). To automatycznie oznacza, że jeżeli nie macie smartfonu z chipsetem MediaTeka, ten problem was nie dotyczy. A sprawa nie jest błaha, bo dzięki wykorzystaniu tej luki, złośliwy kod i cyberprzestępcy mogą uzyskać pełny dostęp do zainfekowanego smartfonu. Innymi słowy: zainfekowany smartfon nie jest już twój i nie ma w tym za grosz przesady. W takim przypadku cyberprzestępca może z telefonem zrobić dokładnie to, co jest właściciel trzymający go w rękach. Czyli wszystko.

Akurat w przypadku opisywanego ataku, o którym więcej przeczytacie na blogu CERT Orange (o ataku informował też Niebezpiecznik), przestępcy ograniczyli się do osiągania nielegalnie zysku poprzez automatyczne wymuszanie dzwonienia na drogie numery. Choć mogli duuuużo więcej.

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .