30/10/2023
CERT Orange informuje o 10 złośliwych aplikacjach, które po instalacji na smartfonie z Androidem wykonują w nocy drogie połączenia na zagraniczne numery. Ofiary otrzymują rachunki na tysiące złotych i o tym, że coś jest nie tak z ich smarfonem dowiadują się dopiero w momencie otrzymania rachunku za telefon, bo nieautoryzowanych połączeń nie widać w historii rozmów.
Zobacz jak sprawdzić, czy Twój Android jest zainfekowany!
Zanim wypiszemy 10 aplikacji, które CERT Orange wytypował jako odpowiedzialne za ten atak, zaznaczmy że ta lista może nie być kompletna. Strategia złodziejów minut polega na tworzeniu wielu różnych aplikacji (np. przypominających znane narzędzia) i nakłanianiu użytkowników do ich instalacji. Złośliwe aplikacje korzystają z dziury w sterowniku Mediatek do uzyskania praw administracyjnych na Androidzie i właśnie to pozwala im wykonywać połączenia na zagraniczne numery, a potem kasować ślady tych połączeń z historii rozmów.
Problem dotyczy tylko i wyłącznie starszych systemów Android — zainfekowani klienci Orange posiadali systemy Android w wersjach od 4.4 do 8.1. Orange w swojej sieci doliczył się ok. tysiąca ofiar i ostrzega i chroni ich przed tym zagrożeniem za pomocą CyberTarczy (mechanizm tzw. blackholingu ruchu). Ale zapewne jeszcze kilka tysięcy Polaków, abonentów innych sieci, nie wie, że są zainfekowani.
Mam Androida — czy jestem zainfekowany?
Sprawdź, czy Ty lub Twoi bliscy nie macie zainstalowanej jednej z poniższych aplikacji:
com.stkj.android.dianchuan (DCShare)
com.android.system.ultimate (System Core)
com.android.wifi.ptop (LEAGOO Share)
com.bbqbar.browser.test (Mini World)
com.biz.ayt (bizayt)
com.htfz.emfp (com.htfz.emfp)
com.izpgo.haaia (haaia)
com.kkks.jmba (com.kkks.jmba)
com.ldkv.ex.xm.gbbz (com.ldkv.ex.xm.gbbz)
com.zhyw.uqak (com.zhyw.uqak)
Pamiętaj jednak, że ta lista nie jest kompletna. Dlatego nawet jeśli nie masz żadnej z tych aplikacji to i tak polecamy:
Przejrzyj swój billing pod kątem zagranicznych połączeń.
U wielu operatorów możesz zalogować się na konto klienta (lub skorzystać z oficjalnej aplikacji mobilnej) i w podejrzeć listę wykonanych w danym miesiącu połączeń. Jeśli zauważysz połączenia zagraniczne, których nie rozpoznajesz, skontaktuj się z infolinią swojego operatora.
I na koniec jeszcze jedna rada — nawet jeśli nie znalazłeś śladów złośliwych połączeń w billingach, to zaktualizuj swojego Androida do najnowszej wersji. A jeśli na Twoim smartfonie nie ma możliwości instalacji Androida w wersji co najmniej 11 (najstarsza wspierana pod kątem bezpieczeństwa wersja) to rozważ zakup nowszego urządzenia.
Wysłaliśmy CyberAlert w tej sprawie
Ze względu na wysokie straty, na jakie narażeni są zainfekowani użytkownicy, zdecydowaliśmy się wysłać w sprawie tego ataku ostrzeżenie do użytkowników naszej aplikacji mobilnej “CyberAlerty”.
Tak wygląda przykładowy CyberAlert
Jeśli też chcesz otrzymywać bezpłatne powiadomienia o istotnych atakach, które mogą zagrażać Twoim oszczędnościom lub danym, to zainstaluj naszą aplikację z oficjalnego sklepu, klikając tutaj.
Powyżej przedstawiliśmy kluczowe informacje na temat tego ataku i sposób na jego wykrycie. Jeśli interesują Was dodatkowe ustalenia, jakie w tej kwestii poczynił zespół CERT Orange, to odsyłamy Was do ich bloga
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Ok, mam zablokowane numery premium w panelu Orange. – Jestem bezpieczny czy nie? Czy to działa tylko na KRAJOWE numery premium? Ktoś wie?
numery premium i zagraniczne to dwie różne rzeczy
czytałeś dokładnie ten artykuł?
@yanks
Czytałem i nic nie wyjaśnia.
Skoro da się blokować premium krajowe, to czy operator nie ma żadnego odróżnienia dla premium zagranicznych żeby je odfiltrować i blokować? Fizycznie nie ma czym się bronić.
A wszyscy mądrzy, który piszą, że telefon trzeba zmieniać co 2 lata by mieć świeżego Androida, niech powiedzą co wnosi w ich życie ten świeży Android? Jakie niesamowite funkcje oferuje? Czy na serio jest to warte 2-3 tysiące zł co 2 lata? Praktycznie nic! Chodzi tylko o bezpieczeństwo. Skoro da się naście lat robić aktualizacje do XP i Win7, to i do Androida też by się dało. Chodzi tu tylko o marketing.
Nadal nie przeczytałeś. Nie chodzi o numery zagraniczne premium tylko po prostu o numery zagraniczne. Operatorzy z reguły nie mają takich blokad bo zazwyczaj tworzą więcej problemów niż jest to warte – klienci sobie poblokują takie połączenia po czym spamują reklamacjami gdy pilnie takie połączenie muszą wykonać.
Jednak sądzę, że znakomita większość użytkowników, może przez całe życie nie mieć potrzeby zadzwonić za granicę. Już nie mówiąc o “za granicę premium”. To raz.
Dwa. Gdy zablokowałem sobie krajowe 0-700, “wap biling” (cokolwiek to jest) i całą resztę badziewia (mam włączonych 12 blokad!!!), to nigdy nie musiałem tego wyłączać.
Trzy: nadejdzie taki dzień, że unia albo UKE nakaże by blokady syfu były włączone domyślnie. Rok-dwa-dziesięć… kwestia czasu.
A da się na play?
Pierwsze pytanie jakie mi się nasunęło, to dlaczego starsze androidy nie mają już wsparcia bezpieczeństwa. Mam android 9 i nie mam potrzeby zmiany urządzenia. To jest chore.
Nie, to jest normalne. Nikt nie będzie non-stop wspierał starych systemów, tym bardziej jak korzysta z nich jakiś tam nieznaczny procent użytkowników. Inaczej to trzeba by byoł pod tym kątem równiez Androida 2 wspierać.
Nawet twórcy wolnego oprogramowania z czasem porzucają wsparcie dla starszych wersji, bo wiedzą, że nie da się wiecznie podtrzymywać przy życiu starego trupa.
Bo android jest darmowy i open source. Nikomu nie płacimy za utrzymanie tego oprogramowania więc nie możemy oczekiwać, że ktoś będzie długo wspierać stare wersje.
Sam wolę kupować co dwa lata telefon za 1k niż raz na 5 lat taki za 3k. W ten sposób zawsze mam w miarę nowego Androida
Prosta sprawa bo się nie opłaca. Przecież nikt już im za to nie zapłaci, więc po co je wspierać? Zresztą właśnie w celu poprawy tej sytuacji Google zrobiło w Androidzie oddzielny komponent “Poprawki bezpieczeństwa” i na przykład mój Huawei ma ostatnią wersję z 2022 roku, mimo że to leciwy android 10.
Po krotce? “Qualcomm”.
@darkestkhan
Po krótce, to nie przeczytałeś artykułu.
“Złośliwe aplikacje korzystają z dziury w sterowniku Mediatek do uzyskania praw administracyjnych na Androidzie”
Tu problemem jest podejście producentów, a nie Android. Luka została naprawiona już dawno i producenci urządzeń mieli okazję przygotować stosowne aktualizacje.
Choć tekst CERT Orange i zawarta tam lista urządzeń podpowiadają mi, że te aplikacje w przynajmniej niektórych przypadkach są po prostu „prezentem” od producenta, więc podatności oprogramowania nie robią tu większego znaczenia.
“podpowiadają mi, że te aplikacje w przynajmniej niektórych przypadkach są po prostu „prezentem” od producenta”
na jakiej podstawie tak twierdzisz? Aplikacje mozna stworzyc z dowonym package namem, jesli nie koliduje z zainstalowanymi juz aplikacjami nie ma problemu z zainstalowaniem.
> na jakiej podstawie tak twierdzisz?
Takiej, że prawie wszystkie znane mi marki z wymienionych przez Orange mają na koncie urządzenia z fabrycznie dołączonym malware. Tak, to jest „normalna” rzecz w „polskich” markach, że kupujesz telefon w sieci dyskontów lub marketów RTV AGD, a potem okazuje się że masz na nim zmodyfikowaną wersję YouTube z zaszytym downloaderem pobierającym aplikacje z reklamowym syfem (które równie dobrze mogłyby być trojanem bankowym). Serwis nic z tym nie potrafi zrobić, twierdzi że wszystko jest ok, bo po resecie malware nie uaktywnia się natychmiastowo
Na liście nie znalazły się natomiast telefony inne niż niszowych chińskich producentów, a przecież uznane marki też mają telefony na mediatekach. Wyjątkiem na liście jest (spośród znanych mi marek) Xiaomi, ale podejrzewam że tu w oprogramowanie ingerował dystrybutor, bo samo siajomajo nie pozwoliłoby sobie na taki chamski malware.
niebezpieczniku, co to za cenzura, w tym komentarzu była emotka z klaunem
To chyba cenzura wordpressowa w takim razie. Do bazy wpadło już bez klauna. (Test klauna z backendu: )
Niestety, nawet świat Open Source ruszył w kierunku “nowsze==lepsze” i w sporej części aplikacji zaprzestał dostarczać wersji “z nowymi funkcjami” oraz, osobno “tylko z łatami bezpieczeństwa”. Projekty, które działają w taki, niegdyś powszechny sposób dziś trudno odnaleźć, ba spora część uznaje nawet, że “wersja stabilna” == “nikt nie zgłasza bugów przez pół roku”, zamiast “wersja, która przeszła wszystkie testy”.
Przyczyna jest prosta: zasoby ludzkie. Niemniej jednak jest tu luka na rynku, którą free-lancerzy open-source mogliby wypełnić. Być może warto pomyśleć o biznesie polegającym back-portowaniu poprawek bezpieczeństwa do starych wersji? Kwota powiedzmy ~200PLN za upgrade telefonu raz rok będzie dla wielu znacznie łatwiejsza do przełknięcia niż parę koła za nowy telefon z nowymi funkcjami. I oczywiście, bo nowe zawsze idzie w parze z nowym, z nowymi dziurami bezpieczeństwa. Gdyby taki projekt pilotował ktoś w rodzaju niebezpiecznika, czyli spec od bezpieczeństwa z renomą i umiejętnościami potwierdzenia, że tak, to działa, być może miało by to szansę na sukces na rynku?
To jest chore, zgadzam się. Ale nie chodzi o porzucanie starszych wersji systemu, bo to akurat jest normalne.
Natomiast NIE JEST NORMALNE to, że nie da się prosto zaktualizować systemu na smartfonie samodzielnie. Windowsa 10 (nawet 11 po drobnej modyfikacji) można samodzielnie zainstalować nawet na najgorszym komputerowym szrocie sprzed kilkunastu lat. Będzie działać (wolno, ale będzie), będą sterowniki. A w świecie smartfonów mamy podejście “3 lata i telefon do kosza, kup sobie nowy”. I co niektórzy nie widzą w tym nic dziwnego, jeszcze próbują tłumaczyć, że tak musi być. A tu ten znienawidzony Microsoft pokazał, że jednak można wspierać sprzęt kilkanaście lat.
Jeżeli macie darmowe połączenia i SMS to ustawcie sobie limit kosztów dodatkowych na 0 i po kłopocie.
Czy można kodem zablokować połączenia wychodzące na numery zagraniczne?
W aplikacji od operatora zrobisz takie ustawienia.
Czyli ja nie muszę się o to martwić, bo mam androida 13 i mam ofertę na kartę w T-Mobile i nie zauważyłem, żeby znikały środki z konta.
Co kilka dni sprawdzam stan konta i GB w aplikacji więc widzę czy coś było podejrzanego.
Otóż to! Nie trzeba wymieniać smartfon na nowy, wystarczy mieć go na kartę, jedyne co cię może wtedy spotkać to utrata 30 zł.
Abonamenty to zło…;)
Albo utrata danych i kont.
Jak masz stare urządzenie bez wsparcia od producenta, sprawdź czy Lineage OS nie wspiera przypadkiem Twojego telefonu i rozważ migrację.
Jednak wtedy zaraz durne aplikacje takie jak mObywatel zaczną twierdzić, że telefon jest niebezpieczny i odmówią współpracy.
Użytkownik ma prawo używać Magiska lub alternatywnych wersji Androida na swoim telefonie a deweloperom aplikacji nic do tego. Zresztą praktycznie nie obserwuje się ataków z ich wykorzystaniem.
Android jest systemem otwartoźródłowym i dobrze byłoby, żeby takim pozostał w teorii i praktyce.
Bardzo mnie ciekawi jaki jest cel takiego ataku. Chyba nie chodzi o nabijanie kabzy operatorowi, a chyba nie da się “płacić” dzwoniąc jak w przypadku płatności SMS?
W artykule jest odnośnik do źródła, tam jest wyjaśnienie podziału zysków.
Ja mam smartfona z Androidem 13 i mi nic nie grozi :-D
Wyszla informacja że Android będzie rozwijany tylko do wersji 15 póżniej zmienia na co innego . Dlatego już nie ma wsparcia dla starszych wersji
coraz bardziej myślę na przesiadka na ios
mam samsung note 8 i jakoś nie potrzebowałem nowszego ale widzę mobwytael działa na hasło na biometrie nie wczoraj aparat no już grzeje się przy niektórych aplikacjach mocno
to też pomyślałem długowiecznie o ios bo podobno ma bardzo długo wsparcie
w oragne można zablokować połączenia międzynarodowe mam blokadę
W android 14 który dzisiaj zainstalował się na moim samsungu dodali dość dajną opcje “automatyczna blokada” która całkowicie blokuje aplikacje z nieautoryzowanych sklepów + włącza skanowanie aplikacji i parę innych funkcji, jest to o tyle super, że jak włączymy tą opcje mniej technicznym osobą to nie zainstalują za żadne skarby aplikacji spoza sklepu. Uprawnień do instalowania zewnętrznych aplikacji nie da się w ogóle wtedy przyznać, jest to całkowicie zablokowane.
Do tej pory ochrona zaawansowana google miała coś podobnego, ale to dało się obejść np wyłączając na chwilę sklep play. Poza tym działało to tak, że uprawnienia dało się przyznać, aplikacja zaczynała się instalować i dopiero po chwili wyskakiwał komunikat, że ochrona zaawansowana to zablokowała. A obecnie ta funkcja w ogóle nie pozwala przyznać uprawnień do zainstalowania aplikacji spoza sklepu.
Jako, że ta opcja jest dość głęboko schowana w ustawieniach to osoba nietechniczna raczej jej nie wyłączy. Szkoda, że domyślnie tego nie włączają :(
Oczywiście dalej można zainstalować syf z oficjalnych sklepów, ale lepsze to niż nic.
Przecież przełącznik zezwalający Androidowi na instalowanie apek z nieznanych źródeł jest co najmniej od wersji 5.x (jak nie wcześniej; dodatkowo w nowszych Androidach jest to opcja konfigurowalna per apka, a nie globalnie), Google Play Protect podobnie (i nie jest to żadna opcja zaawansowana Sklepu Google).
“jak włączymy tą opcje mniej technicznym osobą”
*tĘ
*osobOM
Jakieś dziwne nazwy tych aplikacji, jak ich wyszukać w telefonie?
Gdzie wpisać np. w wyszukiwarce
com.stkj.android.dianchuan (DCShare)?
DCShare to nazwa wyswietlana. Taka powienienes widziec w liscie aplikacji.
Ajj sorki za błędy, coś bez autokorekty chyba lepiej dzisiaj żebym się nie brał za pisanie :P
Jest to całkowicie nowe ustawienie, jak tego nie włączysz to dalej możesz po staremu per aplikacja nadawać uprawnienia do instalowania apek spoza sklepu.
Jak uruchomisz tą opcje to te ustawienia staną się nie dostępne i nie przyznasz już żadnej aplikacji takiego uprawnienia.
Dodatkowo blokuje również polecenia wydawane przez kabel, więc zgodnie z opisem złośliwe ładowarki nie powinny stanowić problemu. Dodatkowo można zaznaczyć blokowanie obrazów zawierających złośliwe oprogramowanie oraz blokowanie aktualizacji oprogramowania przez usb. Nie było tego w starszych androidach, dopiero dodali to w android 14….
A odnośnie skanowania to akurat nie chodzi o play protect a o McAfee który jest wbudowany w samsungi
Play protect to akurat wymusza ochrona zaawansowana google – mając ją aktywną domyślnie włącza się skanowanie aplikacji przez play protect i nie da się tego wtedy wyłączyć. Teraz przez te nowe ustawienie, jeśli ktoś je uruchomi to nie będzie mógł wyłączyć również skanowania aplikacji przez McAfee (dokładnie chodzi o ochrone aplikacji na tel samsung, a jej dostawcą jest firma McAfee)
W normalnym Androidzie nic nie zainstalujesz przez kabel bez wcześniejszego “parowania” smartfona z danym urządzeniem. Samsung pododawał swoich udziwnień i ficzerów do Androida żeby “ułatwić” (cudzysłów zamierzony) współpracę z Windowsem, to teraz musi kombinować i to łatać. W typowym współczesnym smartfonie z Androidem standardowo nie jest podnoszona ani usługa ADB ani wymiana plików (to drugie trzeba ręcznie włączyć po podłączeniu smartfona, to pierwsze trzeba włączyć w opcjach developerskich) – niestety w Samsungu jest inaczej “dla wygody”.
Mam w tej chwili trzy urządzenia z Androidem, Motorolę, Pixela i tablet Samsunga – Samsung pod względem hardware jest ok (kupiłem dla rysika w technologii Wacoma, którego nie trzeba ładować, ale działa świetnie) no i co jest w tym Samsungu syfu nawalone, to masakra; na przykład jest usługa “Łącze do Windows”, która jest zaszyta w systemie i nie dość, że nie daje się odinstalować, to nie można jej nawet wyłączyć i po podłączeniu do dowolnego komputera próbuje się sparować (nawet gdy w tablecie się zaznaczy “tylko ładowanie przez USB”) – i co aktualizacja, to gorzej, na Andku 11 wszystko jeszcze było w miarę normalnie, teraz na tablecie mam Androida 13 (dawniej był bloatware, ale dało się go wyłączyć lub nawet część odinstalować, w nowym nie da się nawet wyłączyć).
“A jeśli na Twoim smartfonie nie ma możliwości instalacji Androida w wersji co najmniej 11”
No to się uśmiałem :D Nie każdy ma potrzebę zmieniania telefonu co rok.
Większość producentów smartfonów z Androidem daje aktualizację co najmniej o jedną wersję Androida, czyli jeśli ktoś ma maksymalnie Androida 10, to kupił z Androidem 9 czyli ma czterolatka (technologicznie, bo że ktoś mógł telefon z 2019 roku kupić w 2023 jako leżak magazynowy i ma “nówkę”, to inna rzecz).Poza tym “manie potrzeby” to nie jest argument racjonalny, to że komuś się wydaje iż nie ma potrzeby zapinania pasów w sa
A ja mam w smartfonie kartę pre-paid, na niej 27 złotych, i mogą mnie rożne appki próbować dzwonić, przyjemnej zabawy. xD
Co się tyczy listy aplikacji w Smartfonie (ktoś tam wyżej pytał)
to się robi tak:
podłącza cegłofona (z włączonym Android Debug Bridge) przez usb:
sprawdzamy przez adb:
adb shell pm list packages
Pozdro
Ciekawe czy wystarczy zablokować połączenia zagraniczne
Jesli blokada jest realizowana prawidlowo po stronie operatora, to nie ma znaczenia co sie dzieje na telefonie.
A po co odsylacie na infolinię operatora ? Czy doradca z infolinii naprawi lukę w procesorze ?
Nie mam abonamentu, nie mam problemu.
mozliwosc nieuprawnionego dzwonienia to tylko jedna z dzialan abuzywnych takich wlamywaczy, nawet jak nie masz abonamentu to nadal moga zrobic wszystko inne z telefonem, wyciagnac hasla do maila i z przegladarki, przegladac ksiazke z numerami oraz wiadomosci, podmienic lub grzebac w apce bankowej, ogladac co robisz z kamerki itd.
Rozwiązanie problemu
Limit rachunku u operatora ustawić.
Ponadtto mozna zablokowac połączenia premium jak również zakupu mobile. Nie mylic z płatnościami kartą aplikacji bankowej bo to jest co innego
Można korzystać z telefonu na katę (jeśli tylko w Polsce dzwonimy). Po doładowaniu telefonu i wykupieniu pakietu saldo jest 0 pln. Nie zadzwonimy nigdzie za granice.
W telefonie na karte tez mozna polaczenia premium zablokować oraz międzynarodowe.
Mozna tez zablokowac zakupy mobilne (gier i aplikacji)
Śpimy spokojnie bo nikt nam tysiące nie natrzaska na telefonie.
Ps Bilingi rozmów (wykaz wykonanych połączeń sprawdzamy w aplikacji operatora) tam będzie rzeczywisty wykaz. Złośliwe oprogramowanie kasuje historie w telefonie. U operatora nie wykasuje. to niemozliwe.
Niebezpiecznik dawajcie proste porady dla ludzi a nie straszcie ich.
No tak, najlepiej od razu kupić nowy telefon.
Warto też zwrócić uwagę, żeby na telefonie, na którym mamy wrażliwe aplikacje – np bankowe – nie instalować byle jakich aplikacji. Separacja kluczem do sukcesu. Tzn dzisiaj może najnowsze androidy są bezpieczne, ale za pare lat tak nie musi być i może okazać się, że jest też i jakaś luka na nie, załatana w nowszej wersji.
A co robią służby?
Certy itp.
Takie ataki powinny być ścigane.
Operator powinien dbać o bezpieczeństwo klientów.
Tak jak banki.
Jeżeli nietypowe połączenia drogie się pojawiają stale itd. Powinni reagować.
Ale jak by było jak trzeba to ….
Ponadto operator powinien z dbałości o klienta na dzień dobry wszystkie kosztowe sprawy i niebezpieczne blokować .
Na własne życzenie odblokowujemy – gdzie callbiurwy dokładnie przed włączeniem powinny informować o zagrożeniach itp.
Salute!
Niestety, ale operator na tym zarabia, więc to nie w jego interesie.
Nawet jak sobie zablokujesz w salonie, to sms-em zawsze można odblokować.
I nie da się zablokować owej możliwości.
Jak się gdzieś mylę, niech mi ktoś wyjaśni, bo Orange odrzucił moje reklamacje podając “użytkownik sam odblokował sms-em”
No ja miałem u syna zablokowaną usługę zakupów u operatora.
Blokada od razu w salonie. Fajnie.
I co z tego? Dostajesz sms “masz zablokowane usługi, wyślij sms aby odblokować”.
Miał jakiegoś syfa na telefonie, który wysłał oczywiście sms, odblokował usługę w orange po czym zakupił jakieś gry za 400 zł.
Orange mówi że to normalna sprawa i tak musi być,
wiec pseudo-blokada w systemie “Mój orange” nie działa.
> Strategia złodziejów
Kogo? “złodziejów”?