Zabezpečení ⇒ Zneužití Androidu k poslání prémiové SMS

[Karel Lerak]

Krátká verze

Dneska jsem z vyúčtování zjistil, že jsem za prémiový SMSky na číslo 90050099 "utratil" skoro celej limit, co mám nastavenej (500,-). Mám podezření, že se někomu podařilo zneužít nějakou díru v Androidu nebo aplikaci odesílající SMSky, protože jsem žádnou prémiovou SMS na to číslo neposílal. Jde o telefon TCL V860, prodává se pod názvem Vodafone Smart II. Specifikace: http://www.gsmarena.com/vodafone_v860_smart_ii-4869.php
Zajímám se o mobilní bezpečnost, takže bych tomu rád přišel na kloub. Kromě toho se dneska chystám podat reklamaci.

Dlouhá verze

V pátek 14.11. mi od Vodafone přišla SMSka "V tomto zuctovacim obdobi uz bohuzel nemate dostatecny limit pro dokonceni nakupu. Vas zustatek pro platby 3. stranam cini 84 Kc."
Hned jsem volal do Vodafone, že jsem nic nenakupoval a co s tím. Operátorka mi řekla, že vidí jenom omezený info jako já v samoobsluze - že jsem ten limit už skoro vyčerpal. Podrobnosti že bude vědět až po vystavení vyúčtování v pondělí (dneska). Ve vyúčtování vidím následující:

Kód: Vybrat vše

Platby třetím stranám
Datum  Čas      Volané číslo  Trvání  Popis              Sleva  Cena
17.10. 15:03:28 90050099              SMS platba - různé        99,00
24.10. 15:01:41 90050099              SMS platba - různé        99,00
31.10. 15:03:25 90050099              SMS platba - různé        99,00
7.11.  15:02:45 90050099              SMS platba - různé        99,00

Potom mi došlo, že mi chodily nějaký divný SMSky, který jsem ignoroval, považoval jsem je za SMS spam. A bingo, chodily z toho stejnýho čísla. Zpráva vždycky obsahovala následující: (prosím administrátory, aby nemazali uvedenej odkaz, kbyby někdo googlil stejnej problém)

Kód: Vybrat vše

kliknete zde http://z.dicemob.mobi/p2460

Na ten odkaz jsem nikdy "neklikal", stejně jako ignoruju odkazy ve spamových e-mailech. Tyhle SMSky jde pěkně spárovat s mým vyúčtováním:

Kód: Vybrat vše

info z vyučtovnání: | SMSky ze stejnýho čísla mi přišly v:
17.10. 15:03:28       15:03
24.10. 15:01:41       15:01
31.10. 15:03:25       15:03
7.11.  15:02:45       15:02

SMS aplikace mi nezobrazí vteřiny, kdy SMSka došla, takže nevím, jestli nejdřív přijde ta SMS a až potom dojde platbě, nebo obráceně.

Až potom jsem zjistil, že jsem stejným způsobem "poslal" ty stejný prémiový SMSky za stejnou cenu už v předchozím období, a že je zase můžu podobným způsobem spárovat s SMSkama, co mi přišly. Poprvé k tomu došlo 3. 10.:

Kód: Vybrat vše

3.10. 15:26:34
10.10. 15:03:53

Pěkný je, že ten automat SMSky aspoň posílá pravidlně jednou za týden a zhruba ve stejnej čas :-)

Telefon a software

Jde o Android 2.3.7-Update5. Tenhle "Update5" je tam už hodně dlouho, kontrola aktualizací žádný nový updaty neukazuje. Root jsem neprováděl. Jde o starší model, co už není v nabídce, ale svojeho času ho Vodafone relativně dost prodával. Nainstaloval jsem do něho několik málo dalších bezplatných aplikací. Warez jsem neinstaloval žádnej. Antivir tam nebyl, ani jsem ho neinstaloval.

Jak na analýzu?

Chtěl jsem začít vytažením dat SMS zpráv, abych mohl analyzovat ty podezřelý SMSky, ale jde to bez root přístupu? (Na SIM kartě nejsou.) Přes ADB jsem vytáhnul seznam názvů všech souborů, ale nikde tam není řetězec "sms". Spíš bych řekl, že ty data budou nepřístupný někde v /data/data. Root provádět nechci, abych neriskoval, že Vodafone neuzná reklamaci už jenom kvůli tomu.

[LivArt]

To ti udělala nějaká hovadina, kterou sis sám nainstaloval. Takže si ty aplikace projdi a zamysli se nad tím. Samo od sebe to určitě nevzniklo a nikdo tě nenapadnul.

[ludekbrno]

Karel Lerak:

Nevím proč píšeš takové elaboráty a co na tom chceš analyzovat... Nikdo tvůj přístroj nezneužil zvenčí. Příčina je zcela jednoduchá. Nainstaloval sis nějakou bezplatnou aplikaci, která zneužívá hlouposti uživatelů tak, že jí odsouhlasí při instalaci přístup k SMS, aniž by použili mozek a zamysleli se, k čemu ta aplikace asi potřebuje přístup k SMS. Typicky to bývají nějaké kravinky, jako tapety, hry a podobné zbytečnosti. Takže si postupně projdi všechny ty doinstalované aplikace a kontroluj jejich oprávnění. U některé z nich najdeš "přístup k SMS" a pokud to není přímo aplikace určená k práci se SMS nebo nějaký messenger, tak si můžeš být jistý, že je to ona. Pak můžeš pro zajímavost napsat, která to byla. Jinak reklamace je zbytečná, ty SMS telefon prokazatelně odeslal a to z aplikace, kterou sis vlastnoručně nainstaloval a ještě jsi jí potvrdil manuálně přístup k SMS. Ber to jako poučení do budoucna, že nemáš všechno odklikat bez přemýšlení.

píšu z mobilu

[Crusty]

muzes zkusit mojim AppListem https://play.google.com/store/apps/deta ... ox.AppList si nechat vypsat seznam aplikaci a jejich opravneni a pak projit ty, co maj opravneni k posilani SMS
tady, kde by se mohly nachazet zpravy http://android.stackexchange.com/questi ... ges-stored

[Karel Lerak]

ludekbrno:
Kéž by to bylo tak jednoduchý, žádnou takovou aplikaci jsem neinstaloval (dole přidávám seznam). A analyzovat chci ty SMSky na binární úrovni, jestli nejsou nějak nestandardně upravený. Nejspíš to funguje tak, že mi přijde SMSka z toho čísla 90050099 a automaticky se "něco" odešle zpátky.

Elaborát píšu taky kvůli tomu, kdyby měl někdo podobnej problém, aby ho tady vygooglil a třeba se ozval.

Dá se souhlasit s tím, že aplikace často vyžadují opravnění, který nepotřebují. Pokud by to ale bylo tak jednoduchý, jak píšeš, nejspíš by bylo takhle zneužitých telefonů mnohem víc.

Dodatečně jsem nainstaloval tyhle aplikace z Google Play, žádná nemá opravnění přistupu k SMS:

Android Device ID
DIC-o Anglicko-Český
Jízdní řády
LinkedIn
Meteor
Můj Vodafone
Star Colonies FULL (malá hra)

[LivArt]

Ta první a poslední se mi nezdá.

[ludekbrno]

Karel:

Mýlíš se, je to zcela jistě tak jednoduché. Neexistuje možnost, aby ti příjem SMS vyvolal odeslání prémiové SMS z tvého čísla. Hledáš v tom vědu, která tam není Neanalyzuj SMS, to je zbytečné, analyzuj oprávnění těch aplikací a budeš vědět hned.

Těch zneužitých telefonů je relativně málo proto, že google aplikace v Play skenuje na takovéto aktivity a žádná tam příliš dlouho nevydrží.

píšu z mobilu

[Karel Lerak]

Crusty: díky za konstruktivní odpověď. Podařilo se mi vytvořit seznam aplikací, bude v dalším postu. A k těm SMSkám se bez rootu viditelně nedostanu...

EDIT: sorry, ten edit nepatřil sem.

[Karel Lerak]

ludekbrno: v příloze máš výpis z Crustyho AppListu, třeba uvidíš něco, co já ne.

InstalledApps_2.txt.zip

Jde o čistej txt soubor, ale fórum ho nechtělo dovolit, tak jsem přidal ".zip".

(18.97 KiB) Staženo 46 x

EDIT: ano, normálně určitě nejde obyčejnou SMS vyvolat odeslání prémiové SMS. Pokud ale tu prémiovou SMS odesílá nějaká aplikace, proč by mi potom chodila obyčejná SMS, abych kliknul na nějakej podivnej odkaz? Jak přesně to podle tebe funguje? Opravdu bych to rád věděl, bez ironie.

[dufko]

Vie tvoj mobil posielať sms s oneskorením?
Tak že napíšeš sms a nastavíš dátum a čas odoslania?

Ak hej, hľadaj aj tým smerom.

[ludekbrno]

Tak z těch aplikací to žádná není. Nicméně google ty aplikace uživatelům na dálku odinstalovává, pokud je odhalí, takže už ji tam nejspíš nemáš. Každopádně jistota je ta, že jiným způsobem to není možné. Navíc nejsi ani zdaleka první, kdo měl tento problém.

píšu z mobilu

[Karel Lerak]

dufko:

Díky za radu, ale vypadá to, že to neumí. Aspoň ta aplikace na posílání SMS mi to nenabízí.

[ludekbrno]

dufko:

To by přece nevysvětlovalo opakované odesílání prémiové SMS Napřed by ji tam musel sám zadat. Je více než jisté, že to dělala nějaká nainstalovaná appka. Už o ní ani nemusí vědět, mohl ji tam mít delší dobu, než začala odesílat a pak ji google z play i telefonů uživatelů vyhodil, takže si Karel už ani nevzpomene, že tam něco takového měl.

píšu z mobilu

[Crusty]

v tom vypisu ma povolene posilani SMS jen Google Play, nekupoval jsi nejakou appku? A ze by Ti to vzalo z kreditu

[Jumbo78]

Nechodí ti nějaký horoskop atd... přes SMS? Nebo něco takového? Synátor měl podobný problém - prémium SMS měl mít zablokované, ale kliknul v aplikaci od O2 v mobilu na horoskopy a pak mu chodily každý den. Nepřikládal jsem tomu význam do doby vyúčtování (cca 2.400,- Kč). Tak jsem zjišťoval a bylo to tak, že když na ty horoskopy kliknul a nechal si jeden zaslat, automaticky svolil ke každodennímu zasílání a ty SMS byly placené (cca 80 Kč)...

Takže to není o tom, že by telefon něco odeslal, ale přijal jsi placenou SMS a byla ti započítána (zkus pohledat v té aplikaci od Vodafone).

EDIT: mimochodem, ta aplikace se objevila po vložení SIM - něco jako SIM Toolkit

[dufko]

dufko:

To by přece nevysvětlovalo opakované odesílání prémiové SMS Napřed by ji tam musel sám zadat. Je více než jisté, že to dělala nějaká nainstalovaná appka. Už o ní ani nemusí vědět, mohl ji tam mít delší dobu, než začala odesílat a pak ji google z play i telefonů uživatelů vyhodil, takže si Karel už ani nevzpomene, že tam něco takového měl.

píšu z mobilu

áno, musel ju tam sám zadať. Buď on, alebo niekto druhý - rodina, kolega. Napíšeš text sms a nastavíš deň a čas odoslania, opakovanie 1x za týždeň....

[ludekbrno]

Jedině tak, ale to bude muset vyšetřovat v rodině a ne tady

píšu z mobilu

[Gambac]

Takovych, jako jsi ty, mne na shop (delam u VDF) prijde denne nekolik. Nikam nic neposilali, o nicem nevi. Pak z nich vyleze, ze jen hrali soutez o iPhone, iPad, iKravinu na netu a poslali jednu SMS...

[ludekbrno]

On ale raději každý hledá nějaké spiknutí a záhadné hacknutí, než by si přiznal, že se nechal nachytat

píšu z mobilu

[dufko]

Teraz som čítal jedno varovanie pred telefonickým prieskumom, kde lákajú na možnosť výhry stoviek eur, ako vďaka za účasť na prieskume. Po skončení hovoru teba poslať jednu sms, aby ste sa zaradili do "súťaže".
Poslaná sms vás však registruje do kvízu, ktorý každý týždeň pošle prémiovú sms na mobil....

Podobné s týmto prípadom

[lazy]

Pokuď to pošlou oni tak to přece nemůže platit telefon na který to přijde, ne?

[dufko]

Veď sú aj prémium systémy, kde sa raz zaregistruješ a potom ti už iba chodia prémium sms, ktoré platíš.

Napríklad ti každý pondelok príde horoskop na daný týždeň. Odber sa zruší až ďalšou sms. Medzitým každý týždeň platíš za prijaté sms...

[Game]

Naštěstí mám prémiové SMS blokle...

Datluju Phatabletem

[dufko]

Tu je to varovanie

http://openiazoch.zoznam.sk/cl/150677/S ... polocnosti

[zabacek98]

Přesně toto se stalo mé kamarádce. Nachytala se jednoduše. Stačilo aby někdy v minulosti odeslala premiovou SMS a tím se automaticky přihlásila k odběru pravidelných SMS za nehorázné peníze. Když jí za měsíc přišla faktura asi 5000 Kč, obrátila se na ČTÚ, kde jí řekli, že není jediná a po důkladnějším prověřování jí asi po půl roce vrátili peníze na účet.



Doplněno: Zaráží mě přístup ostatních. Myslím si, že pokud zde někdo napíše zprávy typu " Naštěstí mám sms bloklé ", tak autorovi moc asi nepomůže

[dvzd]

Ostatni chteji jen poukazat na to, ze tady plati stare dobre ceske prislovi: "Za blbost se plati." A je to tak spravne.

[zabacek98]

Někdy ani ta opatrnost nepomůže.... A když už se člověk nachytá, tak ho v tom necháš?

EDIT by jumbo78: Nezneužívej citaci! Přečti si laskavě pravidla fóra a dodržuj je!

[Game]

Nenechám, ale přemýšlím do předu, predpokladam že se i něco takového muže stát jelikož svět je plnej smejdu kteří vydělávají na nepřipravených lidech, to je jako když skocis z letadla a pak přemýšlíš že sis vlastně měl připravit padák....
Svět přeje připraveným, v počítači mas taky antivir i když třeba za celou dobu žádný vir nechytnes, tak proč ho tam vlastně máš? Ses pripravenej na to že se to může stát...
Život přeje připraveným...

Datluju Phatabletem

[JirkaMa]

Timto je problem zodpovezen.
Plati se za prijatou sms!

[xanthor]

Jo, ale nejprv musíš sám poslat speciální SMS, kterou se k odběru těch placených přihlásíš, jak už tu psal někdo výše.