Дедалі більше власників флагманських смартфонів Samsung Galaxy S22 Ultra стикаються з серйозною проблемою: їхні пристрої стають непридатними для використання через складну атаку, спрямовану на систему безпеки Samsung Knox. Ця атака, схоже, блокує телефони на етапі налаштування після скидання до заводських параметрів, перетворюючи їх на дорогі цеглинки, адже навіть офіційна служба підтримки Samsung не може відновити їхню працездатність.
Аналіз проблеми: від блокування до безвиході
Схема атаки та її наслідки
Проблема проявляється послідовно: після скидання налаштувань користувачі підключають свій Galaxy S22 Ultra до Wi-Fi для стандартного налаштування Android. Однак, перш ніж вони встигають увійти до свого облікового запису Google, на екрані з’являється повідомлення про реєстрацію в системі Knox Mobile Enrollment (KME) з текстом “Цей Galaxy S22 Ultra не є приватним”. Це свідчить про те, що телефоном керує певна організація, а всі дані та активність користувача доступні віддаленому адміністратору.
“Ми помітили кількох власників Galaxy S22 Ultra, які скаржилися на те, що їхні телефони нібито заблоковані після скидання до заводських налаштувань”. – повідомляє Android Authority.
Загадкова компанія Numero LLC та зв’язок з мережею T-Mobile
Найбільш загадковим у цій ситуації є той факт, що жоден із постраждалих користувачів не є частиною корпоративної мережі. Телефони були придбані через звичайні роздрібні канали, і, за словами представників Samsung, не мають жодного зв’язку з будь-якими компаніями. Проте, на скриншотах, що демонструють проблему, згадується компанія Numero LLC. Хоча ця компанія не знайдена у списках американських організацій, наявність напису “5G UC” на одному зі скріншотів вказує на підключення до мережі T-Mobile Ultra Capacity, що свідчить про реєстрацію пристрою в США. Згодом видання знайшло згадки про Numero LLC як компанію, пов’язану з Південною Кореєю, що додає ще більше плутанини.
Спроби розблокування та блокування на рівні IMEI
Користувачі вдавалися до різних методів, включаючи багаторазове скидання до заводських налаштувань та ручне прошивання через Odin, але блокування залишається нездоланним, оскільки воно встановлюється на рівні IMEI. Під час процесу налаштування, коли телефон надсилає запит на атестаційні сервери Samsung, ці сервери перевіряють свою базу даних, і якщо IMEI зареєстрований компанією Numero LLC, телефон отримує відповідний профіль MDM. Оскільки це відбувається на рівні прошивки під час майстер-налаштування, користувач опиняється в пастці: або прийняти скомпрометований телефон з невідомим віддаленим адміністратором, або отримати пристрій, який неможливо активувати та використовувати.
Можливі сценарії та причини атаки
Компрометація облікових записів реселерів
Видання Android Authority розглядає кілька можливих варіантів того, що відбувається. Один з них полягає в тому, що обліковий запис авторизованого реселера Samsung міг бути скомпрометований, що дозволило зловмисникам масово завантажувати довільні IMEI на портал Samsung Knox. Зазвичай, лише авторизовані реселери мають таке право.
Використання вразливостей Knox
Інша гіпотеза полягає у використанні зловмисниками вразливостей у системі Knox, таких як нещодавно виявлена CVE-2026-20978 у KnoxGuard. Ця вразливість може дозволити неавторизованим користувачам обходити перевірки власності та втручатися в корпоративні налаштування. Однак, для реалізації такого сценарію, ймовірно, потрібен фізичний доступ до телефону в певний момент.
Побічний ефект сторонніх сервісів розблокування
Напис “FRP Unlock” на одному зі скріншотів наводить на думку, що ці “угони” Galaxy S22 Ultra можуть бути побічним ефектом використання сумнівних сторонніх сервісів розблокування, які могли викрасти IMEI. Додаток адміністратора, який відображається на останньому скріншоті, має нетипову назву “SAMSUNG ADMIN” великими літерами і містить напис “FRP UNLOCK SAMSUNG” на значку.
Безвихідь для користувачів та пошук рішень
Неефективна служба підтримки Samsung
На жаль, на даний момент, єдиним законним шляхом вирішення проблеми, за рекомендацією Android Authority, є звернення до служби підтримки Samsung з оригінальним підтвердженням покупки та вимогою скасування реєстрації IMEI. Однак, користувачі повідомляють про замкнене коло спілкування: служба підтримки Samsung перенаправляє їх до технічних команд Knox, які, у свою чергу, стверджують, що не мають інструментів для зміни корпоративних записів, і повертають користувачів до служби підтримки. Samsung поки що не надала офіційного коментаря щодо цієї проблеми.
Пошук додаткової інформації
Ситуація з блокуванням Samsung Galaxy S22 Ultra виглядає як складна кіберзлочинна схема, яка ставить користувачів у вкрай невигідне становище. Подальші розслідування, ймовірно, будуть зосереджені на ідентифікації джерела компрометації та пошуку ефективних способів відновлення доступу до пристроїв.
“Якщо ви опинилися на цьому екрані, єдиним законним виходом є звернення до служби підтримки Samsung з оригінальним підтвердженням покупки та вимогою скасування реєстрації IMEI”, – пише Android Authority.
Варто зазначити, що це не єдиний випадок проблем із смартфонами Samsung. Нещодавно суд зобов’язав Samsung виплатити компенсацію власникам Galaxy S22 за штучне сповільнення ігор.
