La botnet del router TP-Link è stata utilizzata per anni per inviare SMS a basso costo

Almeno dal 2016, i dispositivi jailbroken sono stati utilizzati per inviare SMS con tariffe, codici di verifica, ecc.

Gli specialisti delle società di sicurezza delle informazioni Acronis e Search-Lab Robert Neumann e Gergely Eberhardt hanno rivelato dettagli su un grande servizio di messaggistica SMS clandestino basato su una botnet di migliaia di router TP-Link MR6400 compromessi con una capacità integrata di inviare messaggi SMS.

Almeno dal 2016, i router hackerati sono stati utilizzati per inviare messaggi con offerte, codici di verifica, conferme di pagamenti o donazioni online o inviare messaggi criptici che gli esperti non sono ancora stati in grado di decifrare.

In un’intervista con The Record, Neumann ha affermato di essersi interessato al problema dopo aver messo le mani su un router infetto con supporto 4G, che ha “presentato” al suo proprietario un’enorme bolletta telefonica, la cui parte rilevante è stata il pagamento per SMS in uscita inviati dalle mappe SIM sul dispositivo.

Come si è scoperto, gli hacker hanno compromesso i router utilizzando una vulnerabilità scoperta nel 2015 (CVE-2015-3035), che consente l’accesso ai file sui dispositivi TP-Link senza autorizzazione. Neumann è stato in grado di riprodurre un exploit utilizzando CVE-2015-3035 per accedere a una delle funzioni LTE del router, che “invia messaggi, legge catene di SMS in entrata e in uscita, raccoglie informazioni sulla SIM e modifica le impostazioni della LAN e dell’orologio”.

Sebbene la vulnerabilità sia stata risolta nelle versioni del firmware TP-Link rilasciate dopo il 2015, molti router rimangono vulnerabili fino ad oggi.

Neumann non è stato in grado di identificare i creatori della botnet, né ha rilevato un annuncio ricollegabile a un servizio SMS sottobanco, ma la varietà di invii SMS indica un’ampia base di clienti.

Secondo gli esperti, la botnet è ancora funzionante, ma la sua attività è notevolmente diminuita dal 2018.

“La mancanza di interesse da parte dei criminali informatici, l’aggiornamento del firmware del dispositivo a una versione con patch, il passaggio a un nuovo modello vulnerabile con una quota di mercato più elevata o il blocco delle [funzioni di invio di SMS] sulla scheda SIM possono contribuire a ridurre l’attività”, ha affermato Neumann. .