Zranitelnost v routerech TP-Link podvodníci zneužívají už od roku 2016. Mnoho zařízení bylo infikováno malwarem a propojeno do botnetu. Ten se poté zneužívá k odesílání textových zpráv prostřednictvím služby LTE. Sázkové tipy, ověřovací kódy a potvrzování online plateb se tímto způsobem odesílá už několik let. O celé věci píše server The Record Media ve svém příspěvku "Botnet abuses TP-Link routers for years in SMS messaging-as-a-service scheme".
O existenci botnetu informovali bezpečnostní experti Robert Neumann a Gergely Eberhardt v rámci konference Virus Bulletin 2021. Neumann uvedl, že botnet začal blíže zkoumat už v roce 2018.
Botnet pro odesílání SMS: aktualizace firmwaru pro postižené směrovače je k dispozici
Podvodníci už několik let zneužívají routery od výrobce TP-Link k zasílání drahých SMS zpráv. | Zdroj: Misha Feshchak/Unsplash
Celý problém se konkrétně týká modelu TP-Link MR6400. Neumannovi se podařilo využít bezpečnostní zranitelnost a reprodukovat exploit, který mu umožnil přístup k LTE funkcím směrovače. To mu poté umožnilo odesílat prostřednictvím zařízení SMS zprávy, a to bez nutnosti povolení od uživatele. Problémem ale je, že částku za realizované odesílání musí uživatel nakonec zaplatit.
Firmware routeru byl aktualizován už před lety a bezpečnostní díra byla odstraněna. Mnohá zařízení ale nebyla do dnešního dne opravena a jsou stále online.
Botnet pro zasílání SMS: intenzita zneužívání už několik let klesá
Dnes se botnet stále používá, ale už ne tak intenzivně jako dříve, jak říká Neumann: "Zneužívání těchto zařízení se nezastavilo, ale zdá se, že se v průběhu let hodně snížilo ve srovnání s jeho vrcholem v roce 2018." Důvodů je podle něj mnoho. Zájem kyberzločinců klesá, stále více routerů je opravováno a mobilní operátoři umožňují blokování odesílání SMS.
Kdo za botnetem stojí, zatím není známo. Pokud patříte k uživatelům zařízení TP-Link MR6400, je dobré určitě zkontrolovat, zda je nainstalována nejnovější aktualizace firmwaru.