Các mẫu thiết bị Android bình dân là phiên bản nhái được liên kết với các thương hiệu điện thoại thông minh phổ biến đang chứa nhiều trojan được thiết kế để nhắm mục tiêu các ứng dụng nhắn tin WhatsApp và WhatsApp Business.
Các trojan, mà Doctor Web bắt gặp lần đầu tiên vào tháng 7 năm 2022, đã được phát hiện trong phân vùng hệ thống của ít nhất bốn điện thoại thông minh khác nhau: P48pro, radmi note 8, Note30u và Mate40, là
Công ty an ninh mạng cho biết trong một báo cáo được công bố hôm nay: “Những sự cố này được thống nhất bởi thực tế là các thiết bị bị tấn công là bản sao của các mẫu thương hiệu nổi tiếng”.
“Hơn nữa, thay vì cài đặt một trong những phiên bản hệ điều hành mới nhất với thông tin tương ứng được hiển thị trong chi tiết thiết bị (ví dụ: Android 10), họ đã có phiên bản 4.4.2 đã lỗi thời từ lâu.”
Cụ thể, việc giả mạo liên quan đến hai tệp “/system/lib/libcutils.so” và “/system/lib/libmtd.so” được sửa đổi theo cách mà khi thư viện hệ thống libcutils.so được sử dụng bởi bất kỳ ứng dụng nào, nó kích hoạt việc thực thi một trojan được tích hợp trong libmtd.so.
Nếu các ứng dụng sử dụng thư viện là WhatsApp và WhatsApp Business, libmtd.so sẽ tiến hành khởi chạy cửa sau thứ ba có trách nhiệm chính là tải xuống và cài đặt các plugin bổ sung từ máy chủ từ xa lên các thiết bị bị xâm phạm.
Các nhà nghiên cứu cho biết: “Mối nguy hiểm của các cửa hậu được phát hiện và các mô-đun chúng tải xuống là chúng hoạt động theo cách mà chúng thực sự trở thành một phần của các ứng dụng được nhắm mục tiêu,” các nhà nghiên cứu cho biết.
“Do đó, chúng có quyền truy cập vào các tệp của ứng dụng bị tấn công và có thể đọc các cuộc trò chuyện, gửi spam, chặn và nghe các cuộc gọi điện thoại cũng như thực hiện các hành động độc hại khác, tùy thuộc vào chức năng của các mô-đun đã tải xuống.”
Mặt khác, nếu ứng dụng sử dụng các thư viện hóa ra là wpa_supplicant – một daemon hệ thống được sử dụng để quản lý các kết nối mạng – libmtd.so được định cấu hình để khởi động một máy chủ cục bộ cho phép kết nối từ một máy khách từ xa hoặc cục bộ thông qua “mysh “bảng điều khiển.
Doctor Web đưa ra giả thuyết rằng việc cấy ghép phân vùng hệ thống có thể là một phần của họ phần mềm độc hại FakeUpdates (hay còn gọi là SocGholish) dựa trên việc phát hiện ra một trojan khác được nhúng vào ứng dụng hệ thống chịu trách nhiệm cập nhật chương trình cơ sở qua mạng (OTA).
Về phần mình, ứng dụng giả mạo được thiết kế để lọc siêu dữ liệu chi tiết về thiết bị bị nhiễm cũng như tải xuống và cài đặt phần mềm khác mà người dùng không biết thông qua tập lệnh Lua.
Để tránh nguy cơ trở thành nạn nhân của các cuộc tấn công phần mềm độc hại như vậy, người dùng chỉ nên mua thiết bị di động từ các cửa hàng chính thức và nhà phân phối hợp pháp.
.
