Пользователь «Хабра» нашёл в самых дешёвых кнопочных телефонах вредоносные функции для перехвата SMS и тайной отправки данных в сеть

Аватар пользователя garry111

Трояны и бэкдоры позволяют злоумышленникам списывать деньги со счёта и следить за личной перепиской.

webp

Телефоны, протестированные пользователем ValdikSS Фото ValdikSS

Пользователь «Хабра» под ником ValdikSS изучил работу пяти кнопочных мобильных телефонов стоимостью от 600 до 1499 рублей и выяснил, что почти все они имеют скрытые вредоносные функции. Оказалось, что телефоны не только отправляют SMS о факте покупки на определённый номер, но и шлют сообщения на платные короткие номера или пересылают их сторонним лицам через интернет. TJ публикует краткий пересказ расследования.

Как пользователь обнаружил вредоносные функции

Автор расследования хотел использовать дешёвые кнопочные телефоны для приёма SMS-сообщений на компьютер, так как они «гораздо дешевле распространённых USB GSM-модемов» и поддерживают до четырёх SIM-карт. ValdikSS купил телефоны разных производителей на разных наборах микросхем.

  • Inoi 101 за 600 рублей;
  • DEXP SD2810 за 699 рублей;
  • Irbis SF63 за 750 рублей;
  • Itel it2160 за 799 рублей;
  • F+ Flip 3 за 1499 рублей.

Автор изучил работу устройств и «довольно быстро осознал, что с ними что-то не так». Его подозрения укрепились после чтения отзывов пользователей подобных кнопочных телефонов. Пользователь TJ ещё весной рассказывал, что кнопочный телефон его бабушки воровал SMS-сообщения и регистрировал фальшивые телеграм-аккаунты. Тогда он так и не смог обнаружить причину странного поведения устройства.

tjournal.ru

Бабушкофон ворующий смс и телеграм-аккаунты…

Небольшая история о том, как кто-то зарегистрировался в телеграме через сим-карту моей бабушки.

На сайтах интернет-магазинов и агрегаторов также можно найти отзывы о самопроизвольной отправке SMS с кнопочных телефонов и подозрительных списаниях денег со счёта.

webp

Отзывы к телефону F+ Flip 3 Скриншот Яндекс.Маркета

Как пояснил автор расследования, существует несколько способов выявить скрытую активность кнопочных «бабушкофонов». Самый простой из них — запросить детализацию сотового оператора в личном кабинете пользователя. Нужно включить телефон со вставленной SIM-картой и оставить его в таком состоянии на сутки, после чего зайти в личный кабинет на сайте своего мобильного оператора и заказать детализацию активности.

webp

Детализация выявила скрытую отсылку SMS-сообщения  Изображение ValdikSS

Более сложный способ, требующий специальных знаний — анализ прошивки мобильного телефона. Для этого нужно извлечь прошивку из самого телефона или найти её в интернете, после чего распаковать (если это требуется) и исследовать код. ValdikSS использовал для этого взломанную версию программы Miracle Box, которая сама определяет параметры устройства и извлекает прошивку.

Также можно использовать базовую станцию 2G для перехвата, просмотра и модификации сотового трафика GSM/GPRS. Автор расследования соорудил такую станцию из платы радиоперехвата bladeRF x115, мини-компьютера Raspberry Pi 400, программного пакета YateBTS для базовой станции и анализатора трафика Wireshark — в общей сложности, он затратил на это 750 долларов (около 54,8 тысячи рублей по текущему курсу).

 

Что показало исследование пяти кнопочных телефонов

Скрытые функции можно разбить на три категории. Первая — отправка SMS на местный номер или выход в интернет для регистрации факта покупки устройства. Обычно это не приводит к большой трате денег, но IMEI-номер телефона и IMSI SIM-карты (международный идентификатор мобильного абонента) уходят «неустановленной организации или частному лицу». Причём это происходит после каждого сброса настроек устройства или даже извлечения аккумулятора.

webp

Скрытая отсылка SMS с идентификаторами телефона и SIM-карты Изображение ValdikSS

Вторая категория скрытых функций — вирусы в прошивке устройства, которые отправляют SMS-сообщения на платные номера. Они сами предварительно подгружают из сети текст сообщений и нужные номера. Также она перехватывает подтверждающие SMS и сама отправляет текст подтверждения в ответ. Это может привести к значительным списаниям денег с личного счёта абонента.

Третья категория — функции, перехватывающие входящие SMS-сообщения и отсылающие их на определённый интернет-сервер. С помощью такого скрытого кода злоумышленники могут использовать номер телефона абонента для регистрации в различных онлайн-сервисах, которые требуют подтверждения через SMS. Возможно, именно с таким случаем столкнулся пользователь TJ.

Самым «чистым» из проанализированных устройств оказался самый дешёвый Inoi 101 — в его меню есть пункты SMS-подписок и платные игры, но устройство ничего не делает самостоятельно. В остальных устройствах автор расследования нашёл различные скрытые функции.

Какие скрытые функции автор нашёл в кнопочных телефонах

  • Itel it2160 тайно сообщает через интернет о факте продажи, отсылая производителю IMEI, страну, модель, версию прошивки и даже идентификатор базовой станции;
  • F+ Flip 3 также сообщает о факте продажи, высылая как минимум IMEI и IMSI в сообщении на номер +79584971255;
  • DEXP SD2810 расходует деньги со счёта пользователя, самовольно подключаясь к GPRS (при этом на телефоне нет браузера), отправляя платные SMS, связываясь с серверами в Китае и выполняя их команды;
  • Irbis SF63 также подключается к GPRS, связывается с серверами в Китае и выполняет их команды, а также передаёт на эти серверы зашифрованные данные, позволяя использовать номер абонента для регистрации в онлайн-сервисах.

 

Как избежать ущерба от вредоносных функций в телефонах

Телефон DEXP SD2810 уже попадал в СМИ — житель Новокузнецка в 2019 году жаловался на быстрый расход денег со счёта из-за странных SMS. На форуме пользователей мобильных устройств 4PDA также можно найти множество жалоб на вредоносные функции в дешёвых кнопочных телефонах и смартфонах.

 

Пользователь ValdikSS рекомендует покупать телефоны «только проверенных мировых брендов» — вероятность наличия скрытых функций в их прошивке намного ниже. По его мнению, лучше отдавать предпочтение уже известным моделям со множеством отзывов, чем выбирать новые или малоизвестные устройства.

 

Также автор расследования советует проверять купленные телефоны через детализацию сотового оператора, а в случае самовольной активности устройства — писать жалобы производителю и в Роспотребнадзор. Однако он отмечает, что его жалобы производителям привели к одинаковому ответу — ему посоветовали обратиться в сервисный центр.

webp

Пересказ переписки с российским производителем F+ Скриншот оригинального поста ValdikSS

#приватность #расследования

Авторство: 
Копия чужих материалов
Комментарий автора: 

Бесплатный сыр - только в мышеловке. Если у ваших родственников такие устройства - предупредите их и сами имейте ввиду.

Комментарии

Аватар пользователя И-23
И-23(8 лет 9 месяцев)

Главное — ни тени намёка на вину тех, кто уже который год впаривает отправку кодов по SMS в качестве полноценной реализации двухфакторной авторизации.

Аватар пользователя Свидетель Берлага

Ни тени намека на сотовых операторов которые обязаны блокировать по дефолту разные "платные нумера" и рассылку спама

если пользователь хочет может включать себе "свободу" телефонии на полную

Комментарий администрации:  
*** отключен (невменяемое общение) ***
Аватар пользователя И-23
И-23(8 лет 9 месяцев)

Обязаны, стесняюсь спросить, *кем*?

Аватар пользователя Свидетель Берлага

Государством если оно существует конечно как регулятор в пользу народа

а не олигархии частных монополий пи... далее стесняюсь ответить

Комментарий администрации:  
*** отключен (невменяемое общение) ***
Аватар пользователя poxaby4
poxaby4(2 года 12 месяцев)

"Если"

Аватар пользователя Fandaal
Fandaal(9 лет 6 месяцев)

ValdikSS это же автор Goodbye DPI.

Очень давно пользуюсь для обхода блокировки сайтов.

Аватар пользователя Hermetic
Hermetic(2 года 9 месяцев)

Держать там минимум денег, чисто для разговоров. Вобщемто, он для этого только и нужен.

Комментарий администрации:  
*** отключен (агрессивный инфомусор) ***
Аватар пользователя garry111
garry111(11 лет 3 месяца)

А Госуслуги? А банки? Сейчас везде якобы безопасная "двухфакторная аутентификация" через смс

Комментарий администрации:  
*** Отключен (набросы, игнор и хамство в ответ на справедливые вопросы) ***
Аватар пользователя И-23
И-23(8 лет 9 месяцев)

Однако при ближайшем разсмотрении впариваемая *профанация* близко не является «двухфакторной авторизацией».

И тут прямо напрашивается оказание авторам технологии помощи в изучении руководства господина Фокса.

Аватар пользователя Рукастый
Рукастый(8 лет 1 месяц)

Держать там минимум денег, чисто для разговоров. Вобщемто, он для этого только и нужен.

И этот минимум  легко списывают. Смотрел телефон у родственника, каждый день списывали по 15 р на видеокурсы. В  итоге, денег на телефоне не осталось, СМС о подключении услуги на телефоне не нашел. Полторы  сотки списанных - это не так мало.

Другой вариант, когда пользователи звонят на автоответчик - ожидание оператора по пол часа обычно обходится всей суммой на телефоне.

Это пчелиные, между прочим. И телефоны не самые редкие.

Комментарий администрации:  
*** Уличен в невменяемом хамстве - рекомендуется банить при рецидивах ***
Аватар пользователя Grisha
Grisha(12 лет 3 месяца)

А как вы думаете, зачем операторы впаривают всякие сервисы типа "обещанный платеж" и лимиты в минус? Именно....

Аватар пользователя 666
666(10 лет 4 месяца)

Неприятное открытие. Спасибо.

Аватар пользователя И-23
И-23(8 лет 9 месяцев)

Однако с учётом тенденций эволюции смартфонов — закономерное.

Аватар пользователя 666
666(10 лет 4 месяца)

Я как то не задумывался и полагал, что в простых телефонах простые чипы на манер начала двухтысячных. А эти казлы оказывается лепят туда современные обрезанные, да ещё и софт с левыми номерами и серверами. Для меня это открытие года.

Аватар пользователя Muller
Muller(12 лет 5 месяцев)

Простых чипов уже нет. Их нет смысла делать, потому что себестоимость микрочипа определяется не сложностью, а массой.

Аватар пользователя 666
666(10 лет 4 месяца)

Это все понятно. Вот такое было заблуждение.

Аватар пользователя Свидетель Берлага

потому что себестоимость микрочипа определяется не сложностью, а массой.

Да уж капитализьм с искусственным разделением на пацаков и чатлан с разной покупательской способностью в кредит )

Комментарий администрации:  
*** отключен (невменяемое общение) ***
Аватар пользователя Above_name
Above_name(11 лет 7 месяцев)

Тлф , рекомендованные в ВС РФ, вас спасут.

 

 

Аватар пользователя И-23
И-23(8 лет 9 месяцев)

Новодельная какая-то инструкция.
Нокии 1100 там уже нет.

Скрытый комментарий Above_name (без обсуждения)
Аватар пользователя Above_name
Above_name(11 лет 7 месяцев)

Нокии 1100 там уже нет.

И на фото Нокии 1100 тоже нет.

Аватар пользователя sekutor
sekutor(8 лет 2 месяца)

просмотрел детализацию с телефона матери, исходящих смс нет, она не шлёт, сам телефон тоже.

Аватар пользователя Muller
Muller(12 лет 5 месяцев)

И шо, вас это удивляет? Любое средство связи без функций идентификации и отслеживания коммуникаций пользователя на аппаратном уровне в Китае автоматически считается криминальным. Его тупо не пустят в производство. А где вы видели некитайские средства связи?

Скрытый комментарий И-23 (без обсуждения)
Аватар пользователя И-23
И-23(8 лет 9 месяцев)

Вы совершенно напрасно поленились залить картинки на сервер АШ.

Аватар пользователя alex6583
alex6583(8 лет 5 месяцев)

Пользователь «Хабра» нашёл в самых дешёвых кнопочных телефонах вредоносные функции для перехвата SMS и тайной отправки данных в сеть

Apple и Google

Аватар пользователя jackofallthreats
jackofallthreats(7 лет 3 недели)

Это просто привет тем, кто считает, что он такой весь из себя крутой - сидит на кнопке и не знает проблем с безопасностью, как на смартфонах.

Знаю таких лично в ассортименте.

Аватар пользователя PeterR
PeterR(9 лет 7 месяцев)

Я пользуюсь для СМС -для кодов подтверждения при оплате или банкинг-он лайн с ноутбука  ,старым кнопочным Филипсом Ему лет 12-15...Причем если захожу со смартфона- код приходит на другой номер- на кнопочный...Никаких проблем.Видимо новые современные китайцы- проблемные. Купите старую Нокия 3310- вещь.. :)

Аватар пользователя просто пользователь

Где-нибудь по пути от производителя производится подмена прошивки. Один знакомый закачал прошивку из интернета в кнопочный Сименс и он начал после этого сам звонить на короткий номер.

Аватар пользователя Тех Алекс
Тех Алекс(8 лет 12 месяцев)

У меня стоит мой МТС. У всех близких стоит. Периодически заглядываю и контролирую. Рни любят гудок подключить бесплатно на месяц, а потом плата.

Есть личные кабинеты операторов куда полезно иногда заглядывать.

Аватар пользователя ascold
ascold(12 лет 3 месяца)

С кнопочного сильно заглянешь.. На что и весь расчёт тех кто подменяет прошивки. 

Аватар пользователя Тех Алекс
Тех Алекс(8 лет 12 месяцев)

Похоже эта пугалка типа покупайте в нашем фирменном магазине.

Аватар пользователя НСК
НСК(7 лет 4 месяца)

Кнопочные телефоны совсем дешёвые, поэтому их изготавливают безымяные китайцы. И никакой ответственности.

Не осталось "фирменных магазинов" с нормальными кнопочными телефонами, где их Изготовитель ценит свою наработанную репутацию и не опускается до воровства.

Приходится мне - своим старикам покупать всякое непотребство, а они и не докажут что происходит воровство денег со счёта. Зато сотовые операторы довольны, да и продавцы - тоже.

Скрытый комментарий Повелитель Ботов (без обсуждения)
Аватар пользователя Повелитель Ботов
Повелитель Ботов(54 года 6 месяцев)

Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.

Комментарий администрации:  
*** Это легальный, годный бот ***
Аватар пользователя Дмитрий.
Дмитрий.(5 лет 8 месяцев)
  • DEXP 
  • Irbis 

Так это же российские фирмы, как заявляется. А тут китайцам смс шлют.

 

Комментарий администрации:  
*** отключен (невменяемое общение) ***
Аватар пользователя sevik68
sevik68(12 лет 1 месяц)

если на кнопочный ставить тарифы с заблокированной передачей данных, т.е. с отключенным интернетом, то никаких фокусов нет

опыт с китайским вертексом за 500 р.

но как только разрешаешь интернет начинается суета в телефоне, попытки выйти на определенный китайский адрес

насчет смсок не замечал вообще ни в каком режиме

Аватар пользователя mimoshel
mimoshel(4 года 4 месяца)
  • Inoi 101 за 600 рублей;
  • DEXP SD2810 за 699 рублей;
  • Irbis SF63 за 750 рублей;
  • Itel it2160 за 799 рублей;
  • F+ Flip 3 за 1499 рублей.
  • ------------------------------------

Больше похоже на заказную атаку против конкурентов эконом-сегмента.

Дядя сам взломом занимался и описывал примеры на ютубе, сидел-бы уже тихо ...

https://www.youtube.com/watch?v=eWqRoQW1u1k

 

Аватар пользователя СергиоПетров

Но нэйм звонилки брать себе дороже, за фирменный аппарат можно хотя бы предъявить.

Комментарий администрации:  
*** отключен (систематический инфопонос и срач) ***
Аватар пользователя alex6583
alex6583(8 лет 5 месяцев)

Кому?

Аватар пользователя sevik68
sevik68(12 лет 1 месяц)

преимущество нонеймов - присутствие в опциях записи разговора в приличном качестве

на брендах этого и в помине нет

Аватар пользователя СергиоПетров

Телефонного? Или вы про диктофон?

Комментарий администрации:  
*** отключен (систематический инфопонос и срач) ***
Аватар пользователя sevik68
sevik68(12 лет 1 месяц)

кнопочные телефоны, пишут на установленную флешку в формате WAV

качество не хуже платного софта на андроиде

на брендах типа нокии этого нет

Аватар пользователя poxaby4
poxaby4(2 года 12 месяцев)

Ну конечно. Недавняя история яббла с локальным сканированием личных данных ничему не научила?

Аватар пользователя СергиоПетров

Яблочники сами себе злые буратино

Комментарий администрации:  
*** отключен (систематический инфопонос и срач) ***