Технологии
Никита Логинов

Пользователь «Хабра» нашёл в кнопочных телефонах вредоносные функции для перехвата SMS и тайной отправки данных в сеть

Трояны и бэкдоры позволяют злоумышленникам списывать деньги со счёта и следить за личной перепиской.

Телефоны, протестированные пользователем ValdikSS Фото ValdikSS

Пользователь «Хабра» под ником ValdikSS изучил работу пяти кнопочных мобильных телефонов стоимостью от 600 до 1499 рублей и выяснил, что почти все они имеют скрытые вредоносные функции. Оказалось, что телефоны не только отправляют SMS о факте покупки на определённый номер, но и шлют сообщения на платные короткие номера или пересылают их сторонним лицам через интернет. TJ публикует краткий пересказ расследования.

Как пользователь обнаружил вредоносные функции

Автор расследования хотел использовать дешёвые кнопочные телефоны для приёма SMS-сообщений на компьютер, так как они «гораздо дешевле распространённых USB GSM-модемов» и поддерживают до четырёх SIM-карт. ValdikSS купил телефоны разных производителей на разных наборах микросхем.

  • Inoi 101 за 600 рублей;
  • DEXP SD2810 за 699 рублей;
  • Irbis SF63 за 750 рублей;
  • Itel it2160 за 799 рублей;
  • F+ Flip 3 за 1499 рублей.

Автор изучил работу устройств и «довольно быстро осознал, что с ними что-то не так». Его подозрения укрепились после чтения отзывов пользователей подобных кнопочных телефонов. Пользователь TJ ещё весной рассказывал, что кнопочный телефон его бабушки воровал SMS-сообщения и регистрировал фальшивые телеграм-аккаунты. Тогда он так и не смог обнаружить причину странного поведения устройства.

tjournal.ru
Бабушкофон ворующий смс и телеграм-аккаунты — Истории на TJ
Небольшая история о том, как кто-то зарегистрировался в телеграме через сим-карту моей бабушки.

На сайтах интернет-магазинов и агрегаторов также можно найти отзывы о самопроизвольной отправке SMS с кнопочных телефонов и подозрительных списаниях денег со счёта.

Отзывы к телефону F+ Flip 3 Скриншот Яндекс.Маркета

Как пояснил автор расследования, существует несколько способов выявить скрытую активность кнопочных «бабушкофонов». Самый простой из них — запросить детализацию сотового оператора в личном кабинете пользователя. Нужно включить телефон со вставленной SIM-картой и оставить его в таком состоянии на сутки, после чего зайти в личный кабинет на сайте своего мобильного оператора и заказать детализацию активности.

Детализация выявила скрытую отсылку SMS-сообщения  Изображение ValdikSS

Более сложный способ, требующий специальных знаний — анализ прошивки мобильного телефона. Для этого нужно извлечь прошивку из самого телефона или найти её в интернете, после чего распаковать (если это требуется) и исследовать код. ValdikSS использовал для этого взломанную версию программы Miracle Box, которая сама определяет параметры устройства и извлекает прошивку.

Также можно использовать базовую станцию 2G для перехвата, просмотра и модификации сотового трафика GSM/GPRS. Автор расследования соорудил такую станцию из платы радиоперехвата bladeRF x115, мини-компьютера Raspberry Pi 400, программного пакета YateBTS для базовой станции и анализатора трафика Wireshark — в общей сложности, он затратил на это 750 долларов (около 54,8 тысячи рублей по текущему курсу).

Что показало исследование пяти кнопочных телефонов

Скрытые функции можно разбить на три категории. Первая — отправка SMS на местный номер или выход в интернет для регистрации факта покупки устройства. Обычно это не приводит к большой трате денег, но IMEI-номер телефона и IMSI SIM-карты (международный идентификатор мобильного абонента) уходят «неустановленной организации или частному лицу». Причём это происходит после каждого сброса настроек устройства или даже извлечения аккумулятора.

Скрытая отсылка SMS с идентификаторами телефона и SIM-карты Изображение ValdikSS

Вторая категория скрытых функций — вирусы в прошивке устройства, которые отправляют SMS-сообщения на платные номера. Они сами предварительно подгружают из сети текст сообщений и нужные номера. Также она перехватывает подтверждающие SMS и сама отправляет текст подтверждения в ответ. Это может привести к значительным списаниям денег с личного счёта абонента.

Третья категория — функции, перехватывающие входящие SMS-сообщения и отсылающие их на определённый интернет-сервер. С помощью такого скрытого кода злоумышленники могут использовать номер телефона абонента для регистрации в различных онлайн-сервисах, которые требуют подтверждения через SMS. Возможно, именно с таким случаем столкнулся пользователь TJ.

Самым «чистым» из проанализированных устройств оказался самый дешёвый Inoi 101 — в его меню есть пункты SMS-подписок и платные игры, но устройство ничего не делает самостоятельно. В остальных устройствах автор расследования нашёл различные скрытые функции.

Какие скрытые функции автор нашёл в кнопочных телефонах

  • Itel it2160 тайно сообщает через интернет о факте продажи, отсылая производителю IMEI, страну, модель, версию прошивки и даже идентификатор базовой станции;
  • F+ Flip 3 также сообщает о факте продажи, высылая как минимум IMEI и IMSI в сообщении на номер +79584971255;
  • DEXP SD2810 расходует деньги со счёта пользователя, самовольно подключаясь к GPRS (при этом на телефоне нет браузера), отправляя платные SMS, связываясь с серверами в Китае и выполняя их команды;
  • Irbis SF63 также подключается к GPRS, связывается с серверами в Китае и выполняет их команды, а также передаёт на эти серверы зашифрованные данные, позволяя использовать номер абонента для регистрации в онлайн-сервисах.

Как избежать ущерба от вредоносных функций в телефонах

Телефон DEXP SD2810 уже попадал в СМИ — житель Новокузнецка в 2019 году жаловался на быстрый расход денег со счёта из-за странных SMS. На форуме пользователей мобильных устройств 4PDA также можно найти множество жалоб на вредоносные функции в дешёвых кнопочных телефонах и смартфонах.

Пользователь ValdikSS рекомендует покупать телефоны «только проверенных мировых брендов» — вероятность наличия скрытых функций в их прошивке намного ниже. По его мнению, лучше отдавать предпочтение уже известным моделям со множеством отзывов, чем выбирать новые или малоизвестные устройства.

Также автор расследования советует проверять купленные телефоны через детализацию сотового оператора, а в случае самовольной активности устройства — писать жалобы производителю и в Роспотребнадзор. Однако он отмечает, что его жалобы производителям привели к одинаковому ответу — ему посоветовали обратиться в сервисный центр.

Пересказ переписки с российским производителем F+ Скриншот оригинального поста ValdikSS

#приватность #расследования