Дослідники компанії Check Point виявили новий вид фішингових атак, спрямованих на пристрої з Android. Цього разу зловмисники маскуються під повідомленнями про оновлення конфігурації мережі.

Як це працює?

Відповідно до звіту Check Point, зловмисники можуть використовувати так зване «оновлення повітрям» (Over the Air OTA). OTA використовується операторами для оновлення конфігурації мобільної мережі та оновлення програмного забезпечення телефонів.

Усе, що потрібно для злочину звичайний GSM-модем та ноутбук, за допомогою якого й надсилають заражене повідомлення. Формат повідомлення має назву Open Mobile Alliance Client Provisioning (OMA CP).

Особливість цього формату в тім,  що одержувач не може перевірити, хто стоїть за цією зміною налаштувань мережі оператор чи зловмисник. 

android

Кінцевою метою шахраїв є доступ до номера міжнародного ідентифікатора мобільного абонента (IMSI). Ідентифікатор містить дані про належність абонента до певної мережі та послуг, які йому надає оператор. Вважається, що IMSI надійно захищений, однак чимало додатків мають право на його використання, тому власникам смартфонів варто завантажувати лише перевірені додатки.

Зловмисник обманом змушує жертву погодитися на переспрямування інтернет-трафіку на підконтрольний йому проксі-сервер.

Слава Маккавеєв і Антон Скробов, автори дослідження

Кому це може загрожувати?

Майже усім власникам Android-смартфонів. Спеціалісти Check Point протестували фішингові атаки на смартфонах найпопулярніших брендів, як-от Huawei P10, Sony Xperia XZ Premium та на кількох смартфонах від Samsung, включно з Samsung Galaxy S9. І можна стверджувати, що фішинг загрожує більшості телефонів, адже на компанії Samsung, Huawei та Sony припадає більша частина світового ринку смартфонів.

Під найбільшою загрозою є смартфони Samsung. 

Техніка корейської компанії не вимагає додаткової автентифікації й зловмисник може змінювати домашню сторінку браузера та закладки в ньому, а також мати доступ до електронної пошти, серверів синхронізації календаря та контактів.

З іншого боку, пристрої від Huawei, LG і Sony є безпечнішими, оскільки вимагають, щоб адресант надав міжнародний ідентифікатор мобільного абонента, перш ніж прийняти повідомлення. Тобто, щоб під’єднатися до цих смартфонів, шахрай мусить володіти кодом IMSI, і в цьому йому може допомогти неуважність власника смартфона, якщо той необачно встановить заражений додаток.

Чи варто хвилюватися?

Компанія Check Point опублікувала результати свого звіту для ознайомлення в приватному порядку ще у березні цього року. Відтоді всі компанії, за винятком Sony, або випустили потрібне оновлення або планують закрити цю лазівку для зловмисників. Samsung виправила помилку у своєму травневому оновленні безпеки (SVE-2019-14073), а LG виправила її в липні (LVE-SMP-190006). Huawei планує випустити безпекове доповнення, однак торгова війна між США та Китаєм поки не дозволяє китайському вендору цього зробити.

Тож якщо користуєтеся смартфоном з Android — перевірте оновлення, але уважно.

Коменти