Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Opisi virusa, 23.08.2022, 11:00 AM

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Istraživači Doctor Weba upozorili su potencijalne kupce i korisnike jeftinih Android telefona koji su kopije popularnih modela pametnih telefona poznatih brendova, na nekoliko trojanaca koje su pronašli na ovim telefonima. Ovi trojanci ciljaju mesindžere WhatsApp i WhatsApp Business, a mogu se koristiti u različitim scenarijima napada.

Nekoliko korisnika kontaktiralo je prošlog meseca antivirusnu laboratoriju Doctor Weba sa pritužbama o sumnjivim aktivnostima koje su primetili na svojim Android pametnim telefonima.

Doctor Web je tada otkrio isti malver na sistemskoj particiji najmanje četiri različita modela pametnih telefona: P48pro, radmi note 8, Note30u i Mate40.

„Ove incidente objedinjuje činjenica da su napadnuti uređaji bili kopije poznatih brendiranih modela“, navodi se u izveštaju kompanije za sajber bezbednost. „Štaviše, umesto da im je instalirana jedna od najnovijih verzija OS-a sa odgovarajućim informacijama prikazanim u detaljima uređaja (na primer, Android 10), oni su imali davno zastarelu verziju 4.4.2.“

Nazivi ovih modela su u skladu sa nazivima nekih modela poznatih proizvođača.

„Ovo, zajedno sa lažnim informacijama o instaliranoj verziji OS-a, de facto nam omogućava da ove uređaje smatramo lažnim”, navodi se u izveštaju.

Doctor Web je otkrio promene u „/system/lib/libcutils.so“ i „/system/lib/libmtd.so“, sistemskim bibliotekama koje su modifikovane na takav način da kada bilo koja aplikacija koristi sistemsku biblioteku libcutils.so, to pokreće trojanca ugrađenog u libmtd.so. Doctor Web modifikovanu verziju libcutils.so detektuje kao Android.BackDoor.3105, a trojanska libmtd.so biblioteka nazvana je Android.BackDoor.3104.

Ako su aplikacije koje koriste biblioteke WhatsApp i WhatsApp Business ili sistemske aplikacije Settings i Phone, libmtd.so nastavlja sa drugom fazom infekcije i kopira treći backdoor (Android.Backdoor.854.origin) u direktorijum odgovarajuće aplikacije i pokreće ga. Njegov glavni zadatak je da serveru pošalje niz tehničkih podataka o uređaju, a kao odgovor, server šalje listu dodataka koje će trojanac preuzeti, dešifrovati i instalirati na kompromitovane uređaje.

„Opasnost od otkrivenih backdoorova i modula koje preuzimaju je u tome što rade na takav način da zapravo postaju deo ciljanih aplikacija“, rekli su istraživači. „Kao rezultat toga, dobijaju pristup fajlovima napadnutih aplikacija i mogu da čitaju ćaskanja, šalju spam poruke, presreću i prisluškuju telefonske pozive i vrše druge zlonamerne radnje, u zavisnosti od funkcionalnosti preuzetih modula.“

Doctor Web pretpostavlja da bi izvor zlonamernih aplikacija otkrivenih u sistemskoj particiji napadnutih uređaja mogao biti član familije malvera FakeUpdates za koju se zna godinama. Hakeri ih ugrađuju u različite sistemske komponente, kao što je softver za ažuriranje firmwarea, aplikacija za podrazumevana podešavanja ili komponenta odgovorna za grafički interfejs sistema.

Da bi izbegli rizik da postanu žrtve ovakvih malvera, korisnicima se preporučuje da mobilne uređaje kupuju samo u zvaničnim prodavnicama i od renomiranih distributera. Preporuka je i da koriste antivirusni softver i instaliraju sva dostupna ažuriranja za operativni sistem.

Photo by Anton from Pexels


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Novi malver za macOS krade lozinke i druge osetljive informacije sa zaraženih uređaja

Firma Cado Security otkrila je novi malver, Cthulhu Stealer, koji inficira uređaje sa Appleovim operativnim sistemom macOS. Cthulhu Stealer funkcioni... Dalje

Malver TodoSwift inficira macOS maskiran u PDF aplikaciju

Malver TodoSwift inficira macOS maskiran u PDF aplikaciju

Istraživači iz firme Kandji upozorili su na TodoSwift, zlonamernu dropper aplikaciju koja se maskira kao program za preuzimanje PDF-ova. Njihov izve... Dalje

Novi malver Banshee Stealer krade podatke sa macOS računara

Novi malver Banshee Stealer krade podatke sa macOS računara

Kompanija za sajber bezbednost Elastic objavila je da su njeni istraživači otkrili novi malver za krađu informacija pod nazivom Banshee Stealer koj... Dalje

''Nevidiljivi'' malver krade lozinke i podatke sa kreditnih kartica

''Nevidiljivi'' malver krade lozinke i podatke sa kreditnih kartica

Analitičari malvera iz kompanije Barracuda Networks otkrili su novi sofisticirani phishing napad koji uključuje "nevidljivi" malver za krađu inform... Dalje

U toku je operacija čišćenja hiljade računara od malvera PlugX

U toku je operacija čišćenja hiljade računara od malvera PlugX

Uoči Olimpijade, francuske vlasti čine sve da sa zaraženih uređaja u zemlji uklone malver PlugX koji se koristi za špijunažu. Operaciju sprovodi... Dalje