В поддельных телефонах обнаружен бэкдор для взлома WhatsApp
Поддельные версии Android-устройств, связанные с популярными брендами смартфонов, содержат несколько скрытых троянов, предназначенных для приложений WhatsApp и WhatsApp Business.
Компания Dr.Web впервые столкнулась с этим вредоносным ПО в июле 2022 года. Он был обнаружен в системном разделе как минимум четырех разных смартфонов: Radmi note 8, P48pro, Note30u и Mate40.
Компания опубликовала отчет, в котором говорилось:
«Эти инциденты объединяет тот факт, что атакованные устройства были подражателями моделей известных брендов. Более того вместо того, чтобы на них была установлена одна из последних версий ОС с соответствующей информацией, отображаемой в деталях устройства (например, Android 10), у них была давно устаревшая версия 4.4.2».
Подделка касается двух файлов «/system/lib/libcutils.so» и «/system/lib/libmtd.so», которые специально изменены таким образом, что, когда системная библиотека libcutils.so используется каким-либо приложением, она запускает выполнение троянца, встроенного в libmtd.so.
Если приложениями, использующими указанные библиотеки, являются WhatsApp или WhatsApp Business, libmtd.so запускает третий бэкдор, который загружает и устанавливает дополнительные плагины с удаленного сервера на скомпрометированные устройства.
Опасность обнаруженных бэкдоров и модулей, заключается в том, что они работают таким образом, что фактически становятся частью целевых приложений. Исследователи из Dr.Web добавили:
«В результате они получают доступ к файлам атакуемых приложений и могут читать чаты, рассылать спам, перехватывать и прослушивать телефонные звонки и выполнять другие вредоносные действия в зависимости от функциональности загружаемых модулей».
В противном случае libmtd.so настраивается на запуск локального сервера, который разрешает соединения с удаленным или локальным клиентом через консоль «mysh».
Специалисты по кибербезопасности предположили, что имплантаты системного раздела могут быть частью семейства вредоносных программ FakeUpdates (или SocGolish, как его иногда называют) на основании обнаружения другого трояна, встроенного в системное приложение, ответственного за беспроводную прошивку.
Вредоносное приложение предназначено для кражи подробных метаданных о зараженном устройстве. Оно также загружает и устанавливает другое программное обеспечение без ведома пользователя с помощью сценариев Lua.
Пользователям рекомендуется приобретать мобильные устройства в официальных магазинах и у законных дистрибьюторов, чтобы снизить эти риски.
