Popüler akıllı telefon markalarıyla ilişkili sahte sürümler olan ekonomik Android cihaz modelleri, WhatsApp ve WhatsApp Business mesajlaşma uygulamalarını hedeflemek için tasarlanmış birden fazla truva atı barındırıyor.
Doctor Web’in ilk olarak Temmuz 2022’de karşılaştığı truva atları, en az dört farklı akıllı telefonun sistem bölümünde keşfedildi: P48pro, radmi note 8, Note30u ve Mate40.
Siber güvenlik firması bugün yayınlanan bir raporda, “Bu olaylar, saldırıya uğrayan cihazların ünlü marka modellerinin kopyaları olması gerçeğiyle birleşiyor” dedi.
“Ayrıca, cihaz ayrıntılarında (örneğin, Android 10) ilgili bilgilerin görüntülendiği en son işletim sistemi sürümlerinden birine sahip olmak yerine, uzun süredir eski 4.4.2 sürümüne sahiplerdi.”
Spesifik olarak, kurcalama, “/system/lib/libcutils.so” ve “/system/lib/libmtd.so” adlı iki dosyayla ilgilidir; bunlar, libcutils.so sistem kitaplığı herhangi bir uygulama tarafından kullanıldığında, libmtd.so’da bulunan bir truva atının yürütülmesini tetikler.
Kitaplıkları kullanan uygulamalar WhatsApp ve WhatsApp Business ise, libmtd.so, asıl sorumluluğu uzak bir sunucudan güvenliği ihlal edilmiş cihazlara ek eklentiler indirip yüklemek olan üçüncü bir arka kapı başlatmaya devam eder.
Araştırmacılar, “Keşfedilen arka kapıların ve indirdikleri modüllerin tehlikesi, hedeflenen uygulamaların bir parçası olacak şekilde çalışmalarıdır” dedi.
“Sonuç olarak, saldırıya uğrayan uygulamaların dosyalarına erişebiliyorlar ve indirilen modüllerin işlevselliğine bağlı olarak sohbetleri okuyabiliyor, spam gönderebiliyor, araya girip telefon görüşmelerini dinleyebiliyor ve diğer kötü niyetli eylemleri gerçekleştirebiliyorlar.”
Öte yandan, kitaplıkları kullanan uygulamanın wpa_supplicant (ağ bağlantılarını yönetmek için kullanılan bir sistem arka plan programı) olduğu ortaya çıkarsa libmtd.so, “mysh” aracılığıyla uzak veya yerel bir istemciden bağlantılara izin veren yerel bir sunucuyu başlatmak üzere yapılandırılmıştır. “konsol.
Doctor Web, kablosuz (OTA) ürün yazılımı güncellemelerinden sorumlu sistem uygulamasına gömülü başka bir truva atının keşfine dayanarak, sistem bölümü implantlarının FakeUpdates (aka SocGholish) kötü amaçlı yazılım ailesinin bir parçası olabileceğini teorileştirdi.
Hileli uygulama, kendi adına, virüslü cihazla ilgili ayrıntılı meta verileri sızdırmak ve ayrıca Lua komut dosyaları aracılığıyla kullanıcıların bilgisi olmadan diğer yazılımları indirip yüklemek için tasarlanmıştır.
Bu tür kötü amaçlı yazılım saldırılarının kurbanı olma riskinden kaçınmak için kullanıcıların mobil cihazları yalnızca resmi mağazalardan ve yasal distribütörlerden satın almaları önerilir.