Menu dostępności

Uwaga na SMSFactory na Androida – subskrybuje usługi premium

Badacze bezpieczeństwa ostrzegają przed złośliwym oprogramowaniem na Androida o nazwie SMSFactory. Dodaje subskrypcje do rachunku, zapisując ofiary do usług premium.

Dokładna liczba przypadków jest nieznana, ale zarejestrowano dziesiątki tysięcy prób zainfekowania urządzeń z systemem Android chronionych produktami Avast w co najmniej ośmiu krajach.

SMSFactory ma wiele kanałów dystrybucji. Obejmują złośliwe reklamy, powiadomienia push, promocyjne wyskakujące okienka na stronach internetowych, filmy hacki do gier lub dostęp do treści dla dorosłych.

Według Avast, SMSFactory celował w ponad 165 000 klientów z systemem Android w okresie od maja 2021 r. do maja 2022 r. Większość znajdowała się w Rosji, Brazylii, Argentynie, Turcji i na Ukrainie.

Źródło: Avast

Chociaż główną funkcją SMSFactory jest wysyłanie wiadomości tekstowych premium i wykonywanie połączeń na numery premium, badacze Avast zauważyli wariant złośliwego oprogramowania, który może również wykradać listę kontaktów na zagrożonych urządzeniach, co może być wykorzystywane jako kolejna metoda dystrybucji zagrożenia.

Jakub Vávra z Avast zauważa, że SMSFactory jest hostowany w nieoficjalnych sklepach z aplikacjami. Potwierdzają to badacze z ESET. Znaleźli złośliwy pakiet APK w APKMods i PaidAPKFree, dwóch repozytoriach aplikacji na Androida, w których brakuje weryfikacji i odpowiednich zasad bezpieczeństwa dla wymienionych produktów.


Działanie SMSFactory

SMSFactory APK może występować pod różnymi nazwami, podczas próby zainstalowania go na urządzeniu pojawia się ostrzeżenie z Play Protect – wbudowanego systemu bezpieczeństwa Androida, który ostrzega użytkowników o potencjalnym zagrożeniu.

Źródło: Avast

Uprawnienia wymagane podczas instalacji obejmują: dostęp do danych o lokalizacji, wiadomości SMS, możliwość wykonywania połączeń telefonicznych i wysyłania wiadomości SMS, włączania blokady i wibracji, zarządzania nakładkami, korzystania z całego ekranu, monitorowania powiadomień oraz uruchamiania działań w tle.

Nadmiarowe uprawnienia wskazują na szkodliwą działalność, ale nieostrożni użytkownicy, którzy oczekują dostępu do obiecanych treści, prawdopodobnie zezwolą na nie bez sprawdzania.

Po zainstalowaniu aplikacja wyświetla ofierze fałszywy ekran z treścią do usługi, która nie działa lub jest niedostępna.

Aplikacja ukrywa swoją obecność na telefonie poprzez brak dodanej nazwy czy ikony, dlatego też w ustawieniach można ją z łatwością przeoczyć, jak to jest zaprezentowane na załączniku poniżej.

Źródło: Avast

W rezultacie większość ofiar zakłada, że podczas instalacji wystąpił błąd i nie zastanawiając się, pozostawia na swoim telefonie szkodliwe oprogramowanie. Jednak SMSFactory cały czas działa w tle, nawiązując połączenie z serwerem kontroli (C2) i wysyłając profil ID zainfekowanego urządzenia.

Cyberprzestępcy po weryfikacji urządzenia, odsyłają instrukcje i zapisują ofiarę do usług premium.

Jeden z najnowszych wariantów SMSFactory potrafi również dodawać konta administratorów, które są wymagane do rozsyłania wiadomości SMS przy użyciu listy kontaktów.


Jak zachować bezpieczeństwo

Aby uniknąć niechcianych płatności, użytkownikom zaleca się pobieranie aplikacji tylko z zaufanych źródeł, takich jak Google Play. Powinni oni ograniczyć do minimum liczbę używanych aplikacji z nieznanych źródeł i przed zainstalowaniem czegokolwiek przeczytać opinie innych użytkowników.

Ponadto należy aktualizować system operacyjny do najnowszej dostępnej wersji i regularnie przeprowadzać skanowanie za pomocą programu Play Protect.

W przypadku złośliwej subskrypcji usługi premium, najlepszym sposobem będzie wyłączenie jej bezpośrednio u operatora.

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...