Os pesquisadores de segurança de TI da Doctor Web identificaram que muitos modelos de dispositivos Android, que são versões falsificadas de modelos populares de diferentes marcas de smartphones, contêm backdoors e segmentar contas do WhatsApp e aplicativos de mensagens do WhatsApp Business.
Detalhes das descobertas
De acordo com Doctor Web’s pesquisa, pelo menos quatro modelos de smartphones, incluindo Redmi note 8, P48pro, Mate40 e Note30u, estavam abrigando malware. A descoberta foi feita em julho de 2022, e o malware foi encontrado nas partições do sistema desses smartphones.
Os nomes desses modelos são consonantes com os nomes de alguns dos modelos produzidos por fabricantes famosos. Isso, juntamente com as informações falsas sobre a versão do sistema operacional instalado, de fato nos permite considerar esses dispositivos como falsos.
Vale a pena notar que esses dispositivos são comercializados como contendo a versão mais segura do sistema operacional Android, como o Android 10. No entanto, em na realidade, eles contêm uma versão obsoleta, por exemplo, Android 4.4.2, que contém várias vulnerabilidades de segurança.
Como foi detectado?
De acordo com o relatório da Doctor Web , em julho, seu laboratório de antivírus recebeu várias reclamações sobre atividades duvidosas em seus dispositivos Android. O antivírus da empresa também começou a detectar alterações no armazenamento do sistema e notou o aparecimento de malware na partição do sistema.
Os dispositivos visados eram versões falsificadas de marcas populares de smartphones, e seus nomes alinhados com os nomes dos modelos originais. Além disso, os telefones continham versões desatualizadas do sistema operacional, o que validava ainda mais que os dispositivos eram falsos. O antivírus do Doctor Web identificou alterações nos seguintes objetos:
/system/lib/libcutils.so/system/lib/libmtd.so
As alterações foram detectadas usando o recurso de monitoramento de integridade da partição do sistema e a capacidade de ver as alterações de arquivo nas partições. Esses arquivos foram modificados para que quando um aplicativo usasse a biblioteca do sistema libcutils.so, ele acionasse um trojan já incorporado no arquivo.
Se o aplicativo era WhatsApp ou WhatsApp Business, o arquivo lançava um terceiro backdoor que baixava/instalava novos plugins de um servidor remoto no servidor comprometido telefone. Esses backdoors e módulos funcionaram de tal forma que se tornaram parte do aplicativo.
Riscos Potenciais
Os pesquisadores da Doctor Web acreditam que os implantes de partição do sistema podem estar vinculados à família de malware FakeUpdates ou SocGholish. Este malware pode exfiltrar extensos metadados sobre o dispositivo alvo e baixar/instalar outros softwares por meio de scripts Lua sem alertar o usuário. e pode ser utilizado em uma ampla variedade de cenários de ataque, como interceptação de bate-papo e roubo de dados privados confidenciais. Além disso, o malware pode lançar inúmeras campanhas fraudulentas.
Para evitar o uso de telefones infectados, compre smartphones ou outros dispositivos portáteis de distribuidores autênticos ou lojas oficiais apenas.
