Uwaga! Niektóre smartfony same dzwonią za granicę

Na rachunku stoi jak wół, że telefony wykonano, ale dziecko zarzeka się, że nie wie, o co chodzi - brzmi to jak jakiś czarny scenariusz? Niestety może stać się on udziałem wielu polskich rodzin ataku, który wykryli badacze z CERT Orange Polska. Okazuje się, że naciągacze umieszczają w smartfonach złośliwe oprogramowanie, które po włożeniu do nich karty SIM zaczyna dzwonić za granicę.

Informacji o wykonanych połączeniach często nie sposób znaleźć w historii połączeń z poziomu urządzenia - pojawiają się dopiero wtedy, gdy rzucimy okiem na billing u operatora. Taka niespodzianka może spotkać zarówno dzieci, którym rodzice przekazali kartę z abonamentem, jak i osoby dorosłe, które kupiły nowy telefon dla siebie.

Cyberprzestępcy, którzy wpadli na ten sprytny pomysł, wykonują z poziomu zainfekowanych urządzeń wysoko płatne połączenia na numery zagraniczne, na czym zarabiają. Potwierdzone kierunki tego typu połączeń prowadzą do Hiszpanii i na Litwę, ale trudno powiedzieć, czy autorzy tego dość sprytnego ataku mieszkają w jednym z tych dwóch krajów.

W przypadku tego ataku nie trzeba wcale przełamywać zabezpieczeń urządzenia, które użytkownik już ma. Złośliwe oprogramowanie takie jak Malware Triada lub Android HiddenAds bywa zaszyte w jego pamięci od początku i może uaktywniać się po jakimś czasie, czyli np. po aktualizacji.

W niektórych przypadkach szkodnik może być tak odporny, że nie zniknie nawet po przywróceniu do ustawień fabrycznych (!), ale i tak warto dla pewności wykonać taką operację po zakupie nowego urządzenie. Resetowanie pamięci powinno być pierwszym krokiem użytkownika nawet wtedy, gdy sprzęt jest nowy lub wydaje się nam, że poprzedni właściciel przywrócił ustawienia fabryczne.

Decydując się na używany telefon, na pewno nie powinno się ich kupować z niepewnych źródeł lub zza granicy - w razie wystąpienia problemów ściganie sprzedawcy będzie wtedy niezwykle utrudnione. Powinno się też unikać nieznanych marek, czyli tzw. firm krzak. CERT Orange Polska ostrzega, że infekcję wykrywa się często w no-name'ach z Chin.

Nieco spokojniej mogą spać posiadacze iPhone’a. Sam mam ten telefon, bo skuteczne zaatakowanie ich jest trudniejsze niż w przypadku wielu urządzeń z Androidem. Urządzenia tej marki cieszą się też wieloletnim wsparciem producenta w kwestii aktualizacji, w tym związanych z bezpieczeństwem. Zawsze warto na bieżąco sprawdzać dostępne aktualizacje dla systemu operacyjnego smartfona czy też używanych aplikacji.

Klienci sieci Orange mogą skorzystać z Cyber Tarczy, która wykrywa takich intruzów jak Malware Triada lub Android HiddenAds, a w razie infekcji podpowiada, jak sobie z tym problemem poradzić. Niestety walka z cyberprzestępcami nigdy się nie kończy i można żywić obawy, że wspomniane złośliwe oprogramowanie doczeka się klonów lub następców.

Warto też ustawić limity na usługi premium - tak na wszelki wypadek - lub zmienić ofertę na inną. Sam jestem abonentem pomarańczowego operatora, ale nie zdecydowałem się ani na prepaida (żeby nie musieć pamiętać o ręcznym aktywowaniu pakietów itp.), ani na abonament (telefony kupuje we własnym zakresie).

Zamiast tego wybrałem usługę Orange Flex, czyli operatora w aplikacji. Ogromną zaletą tej usługi jest również fakt, iż usługa "opłaca się sama", a pieniądze na odnowienie abonamentu pobierane są raz w miesiącu z karty. Jednocześnie nie da się wydzwonić pieniędzy ponad limit. Opłaty za usługi premium są pobierane tylko wtedy, gdy zasilimy konto w tym celu.

W ostatnim czasie CERT Orange Polska natknął się na jeszcze inny ciekawy atak - oszuści postanowili poudawać Biedronkę oraz… Google'a. Po kliknięciu w link wysłany np. w wiadomości e-mail trafiało się na witrynę do złudzenia przypominającą wyniki wyszukiwania hasła "Najbardziej dochodowe akcje w Polsce", co miało uśpić czujność użytkownika. Po przejściu na stronę rzekomej "Biedronki" pojawiała się informacja o "platformie inwestycyjnej Biedronki".

Strona zachęcała w tym momencie do podania swoich danych osobowych i wykorzystywała sztuczki socjotechniczne (takie jak np. podawanie liczby osób przeglądających stronę wraz z liczbą wolnych miejsc oraz obietnicą "wypłaty na dowolną kartę Banku Polskiego" - chociaż taki nie istnieje). Jeśli ktoś się na to złapał, to potem tylko czekać, aż zadzwoni telefon "konsultanta" z prośbą o np. zainstalowanie jakiejś aplikacji. Pod żadnym pozorem nie wolno tego robić!

Biedronka to świeży przykład, ale jeszcze wcześniej cyberprzestępcy podszywali się pod polski Orlen. Schemat był bardzo podobny - tylko chodziło o Orlen, a nie o Biedronkę. Autorzy strony mogą zachęcać do inwestycji w złoto, ropę, gaz, albo nawet "w kryptowaluty", licząc zapewne na to, że wyciągną dane od osób, którym rosnący kurs Bitcoina obił się o uszy.

Problem zaś w tym, że jeśli ktoś tutaj zarobi na kryptowalutach, to nie użytkownik, tylko atakujący.

Oprócz tego trzeba uważać na wszystkie witryny, które obiecują np. uniezależnienie się finansowo za 3 tygodnie - niedawno strona cyberprzestępców próbowała w ten sposób wykorzystać klientów Banku Millenium. Z kolei na początku grudnia CERT Orange Polska wykrył nowe oszustwo "na Amazon", które przypomina znane już oszustwo "na Facebooka", ale idzie o krok dalej. Po kliknięciu reklamy "Tokenów Amazonu" (czymkolwiek one są) trafia się na fikcyjną stronę.

Strona zachęca do zalogowania się, ale niestety po wpisaniu swoich danych użytkownik traci konto Amazon wraz z np. subskrypcją Prime Video. Jakby tego było mało, chciwi oszuści - już po tym, jak zbiorą dane użytkownika i zaczną np. robić z użyciem jego karty zakupy - zachęcają do... wpłacenia pieniędzy na/za kryptowaluty. Te oczywiście od razu przepadną, jeśli ofiara się na to zdecyduje i polecą na konto cyberprzestępcy...