Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge
Opisi virusa, 23.08.2022, 11:00 AM

Istraživači Doctor Weba upozorili su potencijalne kupce i korisnike jeftinih Android telefona koji su kopije popularnih modela pametnih telefona poznatih brendova, na nekoliko trojanaca koje su pronašli na ovim telefonima. Ovi trojanci ciljaju mesindžere WhatsApp i WhatsApp Business, a mogu se koristiti u različitim scenarijima napada.
Nekoliko korisnika kontaktiralo je prošlog meseca antivirusnu laboratoriju Doctor Weba sa pritužbama o sumnjivim aktivnostima koje su primetili na svojim Android pametnim telefonima.
Doctor Web je tada otkrio isti malver na sistemskoj particiji najmanje četiri različita modela pametnih telefona: P48pro, radmi note 8, Note30u i Mate40.
„Ove incidente objedinjuje činjenica da su napadnuti uređaji bili kopije poznatih brendiranih modela“, navodi se u izveštaju kompanije za sajber bezbednost. „Štaviše, umesto da im je instalirana jedna od najnovijih verzija OS-a sa odgovarajućim informacijama prikazanim u detaljima uređaja (na primer, Android 10), oni su imali davno zastarelu verziju 4.4.2.“
Nazivi ovih modela su u skladu sa nazivima nekih modela poznatih proizvođača.
„Ovo, zajedno sa lažnim informacijama o instaliranoj verziji OS-a, de facto nam omogućava da ove uređaje smatramo lažnim”, navodi se u izveštaju.
Doctor Web je otkrio promene u „/system/lib/libcutils.so“ i „/system/lib/libmtd.so“, sistemskim bibliotekama koje su modifikovane na takav način da kada bilo koja aplikacija koristi sistemsku biblioteku libcutils.so, to pokreće trojanca ugrađenog u libmtd.so. Doctor Web modifikovanu verziju libcutils.so detektuje kao Android.BackDoor.3105, a trojanska libmtd.so biblioteka nazvana je Android.BackDoor.3104.
Ako su aplikacije koje koriste biblioteke WhatsApp i WhatsApp Business ili sistemske aplikacije Settings i Phone, libmtd.so nastavlja sa drugom fazom infekcije i kopira treći backdoor (Android.Backdoor.854.origin) u direktorijum odgovarajuće aplikacije i pokreće ga. Njegov glavni zadatak je da serveru pošalje niz tehničkih podataka o uređaju, a kao odgovor, server šalje listu dodataka koje će trojanac preuzeti, dešifrovati i instalirati na kompromitovane uređaje.
„Opasnost od otkrivenih backdoorova i modula koje preuzimaju je u tome što rade na takav način da zapravo postaju deo ciljanih aplikacija“, rekli su istraživači. „Kao rezultat toga, dobijaju pristup fajlovima napadnutih aplikacija i mogu da čitaju ćaskanja, šalju spam poruke, presreću i prisluškuju telefonske pozive i vrše druge zlonamerne radnje, u zavisnosti od funkcionalnosti preuzetih modula.“
Doctor Web pretpostavlja da bi izvor zlonamernih aplikacija otkrivenih u sistemskoj particiji napadnutih uređaja mogao biti član familije malvera FakeUpdates za koju se zna godinama. Hakeri ih ugrađuju u različite sistemske komponente, kao što je softver za ažuriranje firmwarea, aplikacija za podrazumevana podešavanja ili komponenta odgovorna za grafički interfejs sistema.
Da bi izbegli rizik da postanu žrtve ovakvih malvera, korisnicima se preporučuje da mobilne uređaje kupuju samo u zvaničnim prodavnicama i od renomiranih distributera. Preporuka je i da koriste antivirusni softver i instaliraju sva dostupna ažuriranja za operativni sistem.
Photo by Anton from Pexels

Izdvojeno
Malver Myth Stealer: kradljivac podataka na lažnim sajtovima sa video igrama

Istraživači sajber bezbednosti iz Trellix-a upozorili su na novi malver za krađu podataka pod nazivom Myth Stealer, koji se širi putem lažnih veb... Dalje
Malver Acreed: nova zvezda na crnom sajber-tržištu
.jpg)
Na ruskom hakerskom sajtu Russian Market pojavio se novi malver po imenu Acreed, koji je za kratko vreme postao veoma popularan, a očekuje se da će ... Dalje
Malver FrigidStealer inficira macOS preko lažnih ažuriranja Safari-ja
.jpg)
Istraživači iz firme za sajber bezbednost Wazuh upozorili su na malver FrigidStealer koji inficira macOS preko lažnih ažuriranja pregledača da bi... Dalje
Lažni AI video generatori koji se reklamiraju na Facebook-u šire novi malver koji krade podatke korisnika

Lažni AI alati za generisanje videa koriste se za distribuciju novog malvera za krađu informacija pod nazivom „Noodlophile“. Veb sajtovi... Dalje
Novi malver ruskih hakera LOSTKEYS je digitalna verzija špijuna

Google-ova obaveštajna grupa za pretnje (GTIG) identifikovala je novi malver pod nazivom LOSTKEYS, dizajniran za krađu fajlova i sistemskih podataka... Dalje
Pratite nas
Nagrade