Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Opisi virusa, 23.08.2022, 11:00 AM

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Istraživači Doctor Weba upozorili su potencijalne kupce i korisnike jeftinih Android telefona koji su kopije popularnih modela pametnih telefona poznatih brendova, na nekoliko trojanaca koje su pronašli na ovim telefonima. Ovi trojanci ciljaju mesindžere WhatsApp i WhatsApp Business, a mogu se koristiti u različitim scenarijima napada.

Nekoliko korisnika kontaktiralo je prošlog meseca antivirusnu laboratoriju Doctor Weba sa pritužbama o sumnjivim aktivnostima koje su primetili na svojim Android pametnim telefonima.

Doctor Web je tada otkrio isti malver na sistemskoj particiji najmanje četiri različita modela pametnih telefona: P48pro, radmi note 8, Note30u i Mate40.

„Ove incidente objedinjuje činjenica da su napadnuti uređaji bili kopije poznatih brendiranih modela“, navodi se u izveštaju kompanije za sajber bezbednost. „Štaviše, umesto da im je instalirana jedna od najnovijih verzija OS-a sa odgovarajućim informacijama prikazanim u detaljima uređaja (na primer, Android 10), oni su imali davno zastarelu verziju 4.4.2.“

Nazivi ovih modela su u skladu sa nazivima nekih modela poznatih proizvođača.

„Ovo, zajedno sa lažnim informacijama o instaliranoj verziji OS-a, de facto nam omogućava da ove uređaje smatramo lažnim”, navodi se u izveštaju.

Doctor Web je otkrio promene u „/system/lib/libcutils.so“ i „/system/lib/libmtd.so“, sistemskim bibliotekama koje su modifikovane na takav način da kada bilo koja aplikacija koristi sistemsku biblioteku libcutils.so, to pokreće trojanca ugrađenog u libmtd.so. Doctor Web modifikovanu verziju libcutils.so detektuje kao Android.BackDoor.3105, a trojanska libmtd.so biblioteka nazvana je Android.BackDoor.3104.

Ako su aplikacije koje koriste biblioteke WhatsApp i WhatsApp Business ili sistemske aplikacije Settings i Phone, libmtd.so nastavlja sa drugom fazom infekcije i kopira treći backdoor (Android.Backdoor.854.origin) u direktorijum odgovarajuće aplikacije i pokreće ga. Njegov glavni zadatak je da serveru pošalje niz tehničkih podataka o uređaju, a kao odgovor, server šalje listu dodataka koje će trojanac preuzeti, dešifrovati i instalirati na kompromitovane uređaje.

„Opasnost od otkrivenih backdoorova i modula koje preuzimaju je u tome što rade na takav način da zapravo postaju deo ciljanih aplikacija“, rekli su istraživači. „Kao rezultat toga, dobijaju pristup fajlovima napadnutih aplikacija i mogu da čitaju ćaskanja, šalju spam poruke, presreću i prisluškuju telefonske pozive i vrše druge zlonamerne radnje, u zavisnosti od funkcionalnosti preuzetih modula.“

Doctor Web pretpostavlja da bi izvor zlonamernih aplikacija otkrivenih u sistemskoj particiji napadnutih uređaja mogao biti član familije malvera FakeUpdates za koju se zna godinama. Hakeri ih ugrađuju u različite sistemske komponente, kao što je softver za ažuriranje firmwarea, aplikacija za podrazumevana podešavanja ili komponenta odgovorna za grafički interfejs sistema.

Da bi izbegli rizik da postanu žrtve ovakvih malvera, korisnicima se preporučuje da mobilne uređaje kupuju samo u zvaničnim prodavnicama i od renomiranih distributera. Preporuka je i da koriste antivirusni softver i instaliraju sva dostupna ažuriranja za operativni sistem.

Photo by Anton from Pexels


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Opasna a naizgled bezazlena ekstenzija za Chrome, MS Edge i Operu krade podatke i kriptovalute

Opasna a naizgled bezazlena ekstenzija za Chrome, MS Edge i Operu krade podatke i kriptovalute

Avast je upozorio da poznati malver za Windows, ViperSoftX, instalira opasnu ekstenziju koja krade podatke u veb pretraživače bazirane na Chromiumu.... Dalje

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge

Istraživači Doctor Weba upozorili su potencijalne kupce i korisnike jeftinih Android telefona koji su kopije popularnih modela pametnih telefona poz... Dalje

Ekstenzija za Chrome i Edge krade imejlove korisnika Gmail i AOL naloga

Ekstenzija za Chrome i Edge krade imejlove korisnika Gmail i AOL naloga

Hakerska grupa iz Severne Koreje praćena pod nazivom Kimsuky, koristi ranije nikada viđen malver za čitanje i preuzimanje elektronske pošte i pril... Dalje

Novi malver za macOS krade podatke sa zaraženih uređaja

Novi malver za macOS krade podatke sa zaraženih uređaja

Istraživači bezbednosti iz kompanije ESET otkrili su novi backdoor za macOS koji se koristi u ciljanim napadima za krađu osetljivih informacija od ... Dalje

Novi malver YTStealer krade naloge kreatora YouTube sadržaja

Novi malver YTStealer krade naloge kreatora YouTube sadržaja

Istraživači sajber bezbednosti iz Intezera otkrili su novi malver koji krade informacije. Ciljevi malvera su kreatori YouTube sadržaja od kojih pok... Dalje