CERT Orange ostrzega: stare telefony mogą same dzwonić za granicę

CERT Orange Polska opisuje przykład oszustwa telefonicznego, które zaczyna się od zainstalowania w telefonie ofiary szkodliwego oprogramowania sprytnie modyfikującego Androida, by wykonywać połączenia telefoniczne bez wiedzy użytkownika. Chodzi o starsze telefony z procesorami MediaTek i lukę CVE-2020-0069. Z rejestrów wynika, że ofiarami oszustwa mogli paść użytkownicy używający Androida od wersji 4.4 do 8.1. To systemy wydane na rynek kolejno w 2014 i 2017 roku.

Jak ustalono, źródłem problemu są spreparowane aplikacje na Androida, które próbują skontaktować się z botnetem po eskalacji swoich uprawnień. Jednym z realizowanych przez nie działań jest także wykonywanie połączeń na płatne zagraniczne numery, co oprogramowanie realizuje celowo w nocy, gdy użytkownik na dłużej odłoży telefon i nie jest w stanie tego zauważyć. Połączenia mogą być później usuwane z historii połączeń. CERT Orange Polska zwraca uwagę, że do szkodliwych programów należą m.in.:

• com.android.system.ultimate (System Core)
• com.android.wifi.ptop (LEAGOO Share)
• com.bbqbar.browser.test (Mini World)
• com.biz.ayt (bizayt)
• com.htfz.emfp (com.htfz.emfp)
• com.izpgo.haaia (haaia)
• com.kkks.jmba (com.kkks.jmba)
• com.ldkv.ex.xm.gbbz (com.ldkv.ex.xm.gbbz)
• com.stkj.android.dianchuan (DCShare)
• com.zhyw.uqak (com.zhyw.uqak)

Problem może dotyczyć przede wszystkim użytkowników starszych telefonów. Jak podaje CERT Orange Polska, wśród zagrożonych urządzeń są m.in. takie modele jak Archos Archos Core 55S, myPhone Pocket_2 czy Xiaomi Redmi Note 3. Co ciekawe, procesory z opisywaną luką pozwalającą na eskalację uprawnień występują również w telewizorach i przystawkach smart TV z Androidem TV, ale w tym przypadku nie można mówić o zagrożeniu wysokiego rachunku za połączenia za granicę.