家们在针对 WhatsApp 和 WhatsApp Business 消息应用程序的廉价 Android 设备型号中发现了后门。
Doctor Web 的研究人员在廉价 Android 设备型号的系统分区中发现了后门,这些设备型号是著名品牌型号的假冒版本。该恶意软件以 WhatsApp 和 WhatsApp Business 消息应用程序为目标,并允许攻击者进行多项恶意活动。
“其中包括拦截聊天和窃取其中可能发现的机密信息;该恶意软件还可以执行垃圾邮件活动和各种诈骗计划。然而,这并不是用户面临的唯一风险因素。” 阅读Doctor Web 发布的帖子。“据称受影响的设备上安装了现代且安全的 Android 操作系统版本。但是,实际上,它们基于一个过时的版本,存在多个漏洞。
2022 年 7 月,Doctor Web 意识到了这一恶意活动,此前有几名用户联系了安全公司,报告了他们 Android 设备上的可疑活动。研究人员发现P48pro、Radmi Note 8、Note30u、Mate40等多款机型的系统存储区域发生了变化,并且在系统分区中出现了相同的恶意代码。
专家们注意到,这些设备都是名牌机型的山寨机,其名称与一些知名厂商生产的机型名称一致。专家发现的另一种情况是,所有设备都运行过时的操作系统版本(即 Android 4.4.2 版本),而不是设备详细信息中报告的安装最新操作系统版本之一。
Dr.Web 研究人员注意到“/system/lib/libcutils.so”和“/system/lib/libmtd.so”对象的变化。
对象 libcutils.so 是一个经过修改的系统库,当它被任何应用程序使用时,会执行包含在 libmtd.so 文件中的跟踪Android.BackDoor.3105的木马。
如果 WhatsApp 和 WhatsApp Business Messenger 或“设置”和“电话”系统应用程序正在使用 libmtd.so,则会触发第二阶段感染。恶意软件将另一个后门复制到相应应用程序的目录中并启动它。Dr.Web 研究人员将此后门跟踪为 Android.Backdoor.854.origin。该后门允许运营商下载和安装额外的恶意模块。
“为了下载模块, Android.Backdoor.854.origin 连接到多个 C&C 服务器之一,发送包含有关设备的特定技术数据数组的请求。作为响应,服务器会发送一个插件列表,木马将下载、解密和运行这些插件。” 读取分析。“被发现的后门和它们下载的模块的危险在于它们的运行方式实际上成为目标应用程序的一部分。结果,他们可以访问受攻击应用程序的文件,并可以读取聊天记录、发送垃圾邮件、拦截和接听电话,以及执行其他恶意操作,具体取决于下载模块的功能。”
如果 wpa_supplicant 系统应用程序(允许控制无线连接)参与后门的启动, Android.BackDoor.3104将 启动本地服务器。它允许远程或本地客户端连接并在“mysh”控制台应用程序中运行,该应用程序必须首先安装在设备上或最初存在于其固件中。
据研究人员称,在系统分区中发现的恶意应用程序可能属于 FakeUpdates。
“恶意行为者将它们嵌入到各种系统组件中,例如固件更新软件、默认设置应用程序或负责系统图形界面的组件。在运行时,这些木马会执行各种 Lua 脚本,它们特别用于下载和安装其他软件。正是这样一个特洛伊木马——Android.FakeUpdates.1.origin——在其中一部目标智能手机上被发现。” Dr.Web 总结道。
为避免成为此类恶意软件攻击受害者的风险,专家建议仅从官方商店和合法经销商处购买移动设备。他们还强调了使用防病毒软件和保持操作系统最新的重要性。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 流行移动设备的假冒版本针对 WhatsApp 和 WhatsApp Business
