Popüler akıllı telefon markalarıyla ilişkili sahte sürümler olan ekonomik Android cihaz modelleri, WhatsApp ve WhatsApp Business mesajlaşma uygulamasını hedeflemek için tasarlanmış birden fazla gizli truva atı içerir.
Doctor Web, kötü amaçlı yazılımla ilk olarak Temmuz 2022’de karşılaştı. En az dört farklı akıllı telefonun sistem bölümünde keşfedildi: radmi note 8, P48pro, Note30u ve Mate40.
Siber güvenlik firması bu hafta başlarında bir rapor yayınladı. Açıklamada, “Bu olaylar, saldırıya uğrayan cihazların ünlü marka modellerinin kopyaları olduğu gerçeğiyle birleşiyor.”
“Ayrıca, cihaz ayrıntılarında (örneğin, Android 10) gösterilen ilgili bilgilerle birlikte en son işletim sistemi sürümlerinden birine sahip olmak yerine, uzun süredir güncel olmayan 4.4.2 sürümüne sahiplerdi.”
Kurcalama, “/system/lib/libcutils.so” ve “/system/lib/libmtd.so” olmak üzere iki dosyayla ilgilidir; bunlar, libcutils.so sistem kitaplığı herhangi bir uygulama tarafından kullanıldığında, özel olarak değiştirilmiş, libmtd.so’da bulunan bir truva atının yürütülmesi.
Söz konusu kitaplıkları kullanan uygulamalar WhatsApp veya WhatsApp Business ise, libmtd.so, uzak bir sunucudan güvenliği ihlal edilmiş cihazlara ek eklentiler indirip yükleyen üçüncü bir arka kapı başlatmaya devam eder.
“Keşfedilen arka kapıların ve indirdikleri modüllerin tehlikesi, hedeflenen uygulamaların bir parçası olacak şekilde çalışmalarıdır.”
Araştırmacılar, “Sonuç olarak, saldırıya uğrayan uygulamaların dosyalarına erişebiliyorlar ve indirilen modüllerin işlevselliğine bağlı olarak sohbetleri okuyabiliyor, spam gönderebiliyor, telefon görüşmelerini kesip dinleyebiliyor ve diğer kötü niyetli eylemleri gerçekleştirebiliyorlar” diye ekledi.
Tersine, kitaplıkları kullanan uygulamanın wpa_supplicant (ağ bağlantılarını yönetmek için kullanılan sistem arka plan programı) olduğu ortaya çıkarsa libmtd.so, “mysh” konsolu aracılığıyla uzak veya yerel bir istemciden bağlantılara izin veren yerel bir sunucuyu başlatmak üzere yapılandırılır.
Siber güvenlik uzmanları, havadan (OTA) bellenimden sorumlu sistem uygulamasına gömülü başka bir truva atının keşfine dayanarak, sistem bölümü implantlarının FakeUpdates (veya bazen bilindiği gibi SocGolish) kötü amaçlı yazılım ailesinin bir parçası olabileceğini teorileştirdi. güncellemeler.
Kötü amaçlı uygulama, virüslü cihazla ilgili ayrıntılı meta verileri sızdırmak için tasarlanmıştır. Ayrıca, Lua komut dosyaları aracılığıyla kullanıcı bilgisi olmadan diğer yazılımları indirir ve kurar.
Bu riskleri azaltmak için kullanıcıların resmi mağazalardan ve yasal distribütörlerden mobil cihaz satın almaları önerilir.