[Aktualizacja] Złośliwe oprogramowanie w aplikacji pogodowej na smartfonach Alcatela. Naciągało użytkowników na numery premium
Aplikacja pogodowa preinstalowana na smartfonach Alcatela okazała się ukrywać złośliwe oprogramowanie, które kolekcjonowało dane o użytkownikach i naciągało ich na subskrypcję połączeń premium. Za stworzenie aplikacji odpowiada sam producent, czyli TCL.
![[Aktualizacja] Złośliwe oprogramowanie w aplikacji pogodowej na smartfonach Alcatela. Naciągało użytkowników na numery premium](https://telepolis.pl//images/miniatury/alcatel-malware-min.jpg)
Weather Forecast - World Weather Accurate Radar. Taką nazwę nosi winowajca całego zamieszania. To aplikacja pogodowa od TCL domyślnie instalowana w smartfonach marki Alcatel. Odkrycia złośliwego oprogramowania w jej kodzie dokonała ekipa brytyjskich specjalistów od bezpieczeństwa z firmy Upstream. O swoim odkryciu poinformowali dopiero teraz, ale sprawę intensywnie badano już od przynajmniej kilku miesięcy.
Niepokój Upstream wzbudziła duża duża liczba prób transakcji wykonywanych ze smartfonów Alcatel Pixi 4 oraz A3 Max na terenie Brazylii, Malezji, Nigerii, RPA, Tunezji, Egiptu oraz Kuwejtu. Za sprawą platformy Secure-D udało się zablokować 27 mln prób subskrypcji na numery premium, które mogły kosztować użytkowników łącznie nawet 1,5 mln dolarów.
Zobacz: Dla ponad 40% dużych i średnich firm w Polsce ważne jest zabezpieczenie urządzeń mobilnych przed atakami
Zobacz: Alcatel odświeża modele 1x i 1c na 2019 rok. Nowe budżetowe smartfony od TCL mają dowieść, że można dobrze i tanio
Zobacz: DriveSavers twierdzi, że potrafi przełamać zabezpieczenia telefonów z systemami Android, iOS, BlackBerry OS oraz Windows
Jak się później okazało, złośliwy kod zaszyty w aplikacji pogodowej (notabene stworzonej przez TCL) przesyłał dane użytkowników (lokalizację, numer IMEI, adres e-mail) na serwer w Chinach i potajemnie zapisywał ich na subskrypcję połączeń z numerami premium. Program był również dostępny dla innych użytkowników Androida w sklepie Google Play, gdzie zanotował łącznie ponad 10 mln pobrań i miał dobrą opinię.
Przedstawiciele TCL badają sprawę. Najbardziej prawdopodobny scenariusz zakłada ingerencję osób trzecich w kod aplikacji. Oczywiście program zniknął już z zasobów sklepu Google oraz urządzeń Alcatela.
[Aktualizacja]
Oto oficjalne stanowisko producenta dotyczące wykrycia złośliwego oprogramowania w aplikacji pogodowej Weather Forecast - World Weather Accurate Radar:
Świat technologii mobilnych wciąż się rozwija. Rozumiemy to i staramy się uczestniczyć w tych zmianach. Jednym z elementów, które z tego wynikają jest nasze coraz większe zainteresowanie rozwojem własnych usług mobilnych. W wyniku obaw, które się ostatnio pojawiły, zespół odpowiedzialny za aplikacje natychmiast zareagował, tworząc aktualizacje mające poprawić kwestię bezpieczeństwa i prywatności użytkowników. Chcąc dokładnie zbadać sprawę, postanowiliśmy do odwołania usunąć aplikację pogodową z Google Play. W tym czasie, wspólnie z zewnętrzną firmą, specjalizującą się w rozwiązaniach bezpieczeństwa, dokładnie sprawdzimy tę i pozostałe nasze aplikacje. Będziemy informować o przebiegu tego procesu.
Co warto wiedzieć o naszych aplikacjach:
- Dane z naszych aplikacji mobilnych przechowywane są na serwerach AWS, znajdujących się w USA. Jeśli dane trafiają, gdzie indziej, jest to zdarzenie nieautoryzowane i natychmiast przez nas blokowane oraz sprawdzane.
- Dokładamy wszelkich starań, aby dane osobowe naszych klientów były bezpieczne i przechowywane zgodnie z wymogami prawnymi. Nasze zespoły podejmują odpowiednie działania w celu przestrzegania ogólnego rozporządzenia o ochronie danych (w przypadkach, w których RODO ma zastosowanie), w odniesieniu do wszelkich produktów, w tym oprogramowania lub sprzętu.
- Wszystkie dane osobiste, które są zbierane od użytkowników, mają służyć celom związanym z działaniem produktu. W przypadku aplikacji pogodowej nr IMEI pobierany był w celu umożliwienia użytkownikowi dochodzenia prawa usunięcia swoich danych z naszych serwerów. Postanowiliśmy jednak nie pobierać tego numeru, a opcja ta nadal będzie dostępna w oparciu o Android ID. Informacje o lokalizacji pobierane były, aby polepszyć doświadczenia z korzystania z tej aplikacji. Adres e-mail pobierany był jedynie w przypadku, gdy użytkownik postanowił skontaktować się z nami w celu przesłania swoich wrażeń lub uwag.
- Każda nasza aplikacja mobilna sprawdzana jest przez VirusTotal, gdzie wykorzystywane jest 70 różnych skanerów antywirusowych. W ten sposób upewniamy się, że oprogramowanie, które udostępniamy w Google Play wolne jest od zagrożeń. Pamiętać należy również, że sam sklep Google sprawdza każdą aplikację jeszcze przed jej publikacją.
- Naszym priorytetem pozostaje zachowanie najwyższej czujności w kwestiach bezpieczeństwa i prywatności naszych klientów. Dlatego usunęliśmy z naszych aplikacji mobilnych dostęp SDK firm trzecich – z wyjątkiem Google i innych zaufanych i zweryfikowanych globalnych partnerów – zapewniając, że nie pojawią się więcej żadne nielegalne próby ze strony takich podmiotów.
- Usunęliśmy naszą aplikację pogodową ze sklepu Google Play. Pojawi się ona tam z powrotem po dokładnym zweryfikowaniu. Jednocześnie natychmiast udostępniliśmy aktualizację aplikacji wszystkim, którzy mają ją zainstalowaną na telefonach. Dzięki temu zablokowany został dostęp w SDK dla podmiotów zewnętrznych.
