Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Opisi virusa, 23.08.2022, 11:00 AM

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Istraživači Doctor Weba upozorili su potencijalne kupce i korisnike jeftinih Android telefona koji su kopije popularnih modela pametnih telefona poznatih brendova, na nekoliko trojanaca koje su pronašli na ovim telefonima. Ovi trojanci ciljaju mesindžere WhatsApp i WhatsApp Business, a mogu se koristiti u različitim scenarijima napada.

Nekoliko korisnika kontaktiralo je prošlog meseca antivirusnu laboratoriju Doctor Weba sa pritužbama o sumnjivim aktivnostima koje su primetili na svojim Android pametnim telefonima.

Doctor Web je tada otkrio isti malver na sistemskoj particiji najmanje četiri različita modela pametnih telefona: P48pro, radmi note 8, Note30u i Mate40.

„Ove incidente objedinjuje činjenica da su napadnuti uređaji bili kopije poznatih brendiranih modela“, navodi se u izveštaju kompanije za sajber bezbednost. „Štaviše, umesto da im je instalirana jedna od najnovijih verzija OS-a sa odgovarajućim informacijama prikazanim u detaljima uređaja (na primer, Android 10), oni su imali davno zastarelu verziju 4.4.2.“

Nazivi ovih modela su u skladu sa nazivima nekih modela poznatih proizvođača.

„Ovo, zajedno sa lažnim informacijama o instaliranoj verziji OS-a, de facto nam omogućava da ove uređaje smatramo lažnim”, navodi se u izveštaju.

Doctor Web je otkrio promene u „/system/lib/libcutils.so“ i „/system/lib/libmtd.so“, sistemskim bibliotekama koje su modifikovane na takav način da kada bilo koja aplikacija koristi sistemsku biblioteku libcutils.so, to pokreće trojanca ugrađenog u libmtd.so. Doctor Web modifikovanu verziju libcutils.so detektuje kao Android.BackDoor.3105, a trojanska libmtd.so biblioteka nazvana je Android.BackDoor.3104.

Ako su aplikacije koje koriste biblioteke WhatsApp i WhatsApp Business ili sistemske aplikacije Settings i Phone, libmtd.so nastavlja sa drugom fazom infekcije i kopira treći backdoor (Android.Backdoor.854.origin) u direktorijum odgovarajuće aplikacije i pokreće ga. Njegov glavni zadatak je da serveru pošalje niz tehničkih podataka o uređaju, a kao odgovor, server šalje listu dodataka koje će trojanac preuzeti, dešifrovati i instalirati na kompromitovane uređaje.

„Opasnost od otkrivenih backdoorova i modula koje preuzimaju je u tome što rade na takav način da zapravo postaju deo ciljanih aplikacija“, rekli su istraživači. „Kao rezultat toga, dobijaju pristup fajlovima napadnutih aplikacija i mogu da čitaju ćaskanja, šalju spam poruke, presreću i prisluškuju telefonske pozive i vrše druge zlonamerne radnje, u zavisnosti od funkcionalnosti preuzetih modula.“

Doctor Web pretpostavlja da bi izvor zlonamernih aplikacija otkrivenih u sistemskoj particiji napadnutih uređaja mogao biti član familije malvera FakeUpdates za koju se zna godinama. Hakeri ih ugrađuju u različite sistemske komponente, kao što je softver za ažuriranje firmwarea, aplikacija za podrazumevana podešavanja ili komponenta odgovorna za grafički interfejs sistema.

Da bi izbegli rizik da postanu žrtve ovakvih malvera, korisnicima se preporučuje da mobilne uređaje kupuju samo u zvaničnim prodavnicama i od renomiranih distributera. Preporuka je i da koriste antivirusni softver i instaliraju sva dostupna ažuriranja za operativni sistem.

Photo by Anton from Pexels


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Lažne aplikacije Telegram i WhatsApp prazne kripto novčanike

Trojanizovane verzije popularnih mesindžera kao što je Telegram ili WhatsApp nude se na lažnim sajtovima korisnicima Androida i Windowsa, koji preu... Dalje

BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

BlackLotus je prvi malver koji može da zaobiđe Secure Boot na Windows 11

Nevidiljivi UEFI (Unified Extensible Firmware Interface) bootkit pod nazivom BlackLotus postao je prvi poznati malver koji je u stanju da zaobiđe Sec... Dalje

Piratski programi za macOS inficiraju računare opasnim kripto malverom

Piratski programi za macOS inficiraju računare opasnim kripto malverom

Final Cut Pro i druge piratske macOS aplikacije na Pirate Bay su inficirane do sada neotkrivenim malverom. Kada ih žrtve preuzmu, zaraženi Apple ure... Dalje

Opasni ransomware Clop sada inficira i Linux sisteme

Opasni ransomware Clop sada inficira i Linux sisteme

Istraživači iz firme SentinelOne 26. decembra primetili su prvu varijantu ransomwarea Clop (Cl0p) koja cilja na Linux sisteme. Clop se prvi put poja... Dalje

Opasni bankarski trojanac na lažnom veb sajtu aplikacije Zoom

Opasni bankarski trojanac na lažnom veb sajtu aplikacije Zoom

Hakeri koriste modifikovani program za instalaciju Zooma da bi prevarili ljude da instaliraju IcedID malver na svojim sistemima, upozorili su istraži... Dalje