Trojanci na kopijama popularnih modela Android telefona hakuju WhatsApp naloge
Opisi virusa, 23.08.2022, 11:00 AM
Istraživači Doctor Weba upozorili su potencijalne kupce i korisnike jeftinih Android telefona koji su kopije popularnih modela pametnih telefona poznatih brendova, na nekoliko trojanaca koje su pronašli na ovim telefonima. Ovi trojanci ciljaju mesindžere WhatsApp i WhatsApp Business, a mogu se koristiti u različitim scenarijima napada.
Nekoliko korisnika kontaktiralo je prošlog meseca antivirusnu laboratoriju Doctor Weba sa pritužbama o sumnjivim aktivnostima koje su primetili na svojim Android pametnim telefonima.
Doctor Web je tada otkrio isti malver na sistemskoj particiji najmanje četiri različita modela pametnih telefona: P48pro, radmi note 8, Note30u i Mate40.
„Ove incidente objedinjuje činjenica da su napadnuti uređaji bili kopije poznatih brendiranih modela“, navodi se u izveštaju kompanije za sajber bezbednost. „Štaviše, umesto da im je instalirana jedna od najnovijih verzija OS-a sa odgovarajućim informacijama prikazanim u detaljima uređaja (na primer, Android 10), oni su imali davno zastarelu verziju 4.4.2.“
Nazivi ovih modela su u skladu sa nazivima nekih modela poznatih proizvođača.
„Ovo, zajedno sa lažnim informacijama o instaliranoj verziji OS-a, de facto nam omogućava da ove uređaje smatramo lažnim”, navodi se u izveštaju.
Doctor Web je otkrio promene u „/system/lib/libcutils.so“ i „/system/lib/libmtd.so“, sistemskim bibliotekama koje su modifikovane na takav način da kada bilo koja aplikacija koristi sistemsku biblioteku libcutils.so, to pokreće trojanca ugrađenog u libmtd.so. Doctor Web modifikovanu verziju libcutils.so detektuje kao Android.BackDoor.3105, a trojanska libmtd.so biblioteka nazvana je Android.BackDoor.3104.
Ako su aplikacije koje koriste biblioteke WhatsApp i WhatsApp Business ili sistemske aplikacije Settings i Phone, libmtd.so nastavlja sa drugom fazom infekcije i kopira treći backdoor (Android.Backdoor.854.origin) u direktorijum odgovarajuće aplikacije i pokreće ga. Njegov glavni zadatak je da serveru pošalje niz tehničkih podataka o uređaju, a kao odgovor, server šalje listu dodataka koje će trojanac preuzeti, dešifrovati i instalirati na kompromitovane uređaje.
„Opasnost od otkrivenih backdoorova i modula koje preuzimaju je u tome što rade na takav način da zapravo postaju deo ciljanih aplikacija“, rekli su istraživači. „Kao rezultat toga, dobijaju pristup fajlovima napadnutih aplikacija i mogu da čitaju ćaskanja, šalju spam poruke, presreću i prisluškuju telefonske pozive i vrše druge zlonamerne radnje, u zavisnosti od funkcionalnosti preuzetih modula.“
Doctor Web pretpostavlja da bi izvor zlonamernih aplikacija otkrivenih u sistemskoj particiji napadnutih uređaja mogao biti član familije malvera FakeUpdates za koju se zna godinama. Hakeri ih ugrađuju u različite sistemske komponente, kao što je softver za ažuriranje firmwarea, aplikacija za podrazumevana podešavanja ili komponenta odgovorna za grafički interfejs sistema.
Da bi izbegli rizik da postanu žrtve ovakvih malvera, korisnicima se preporučuje da mobilne uređaje kupuju samo u zvaničnim prodavnicama i od renomiranih distributera. Preporuka je i da koriste antivirusni softver i instaliraju sva dostupna ažuriranja za operativni sistem.
Photo by Anton from Pexels
Izdvojeno
Nevidljivi špijun: Remcos RAT
Stručnjaci za sajber bezbednost upozoravaju na nagli porast sajber napada u kojima se koristi Remcos, trojanac za daljinski pristup (RAT). Malver, ko... Dalje
Popularna platforma se zloupotrebljava za širenje malvera
Godot Engine, popularna platforma za razvoj igara koja omogućava korisnicima da dizajniraju 2D i 3D igre na različitim platformama, uključujući ... Dalje
Hakeri koriste Excel fajlove za širenje opasnog trojanca Remcos RAT
Istraživači sajber bezbednosti FortiGuard Labsa otkrili su opasnu phishing kampanju koja distribuira novu varijantu malvera Remcos RAT (Remote Acces... Dalje
Novi malver SteelFox sakriven u programima za nelegalnu aktivaciju softvera
Kaspersky upozorava na novi crimeware pod nazivom SteelFox koji rudari kriptovalute i krade podatke o kreditnim karticama koristeći tehniku „b... Dalje
Novi opasni malver WarmCookie krije se u linkovima i prilozima u emailovima
Istraživači sajber bezbednosti iz kompanije Cisco Talos upozorili su na novi malver pod nazivom WarmCookie, takođe poznat kao BadSpace, koji se ši... Dalje
Pratite nas
Nagrade