Dr.Web сообщил об обнаружении бэкдоров в прошивке некоторых устройств, копирующих известные бренды.
Эти трояны нацелены на выполнение произвольного кода в мессенджерах WhatsApp и WhatsApp Business и потенциально могут использоваться в различных сценариях атак. Среди них — перехват сообщений в чатах и кража конфиденциальной информации, организация спам-рассылок и другие мошеннические схемы.
Однако это не единственная проблема, возникающая перед пользователями. Несмотря на заявленную современную версию ОС Android, в устройстве может быть установлена устаревшая или самостоятельно «допиленная» операционная система, взятая из сомнительных источников.
В июле в вирусную лабораторию компании «Доктор Веб» обратилось сразу несколько пользователей с жалобами на подозрительную активность на принадлежащих им Android-смартфонах. В частности, антивирус Dr.Web фиксировал изменение системной области памяти, а также появление одинаковых во всех случаях вредоносных приложений в системном разделе. Отмеченные инциденты объединяет то, что атакованные устройства являются копиями моделей известных брендов. Кроме того, вместо одной из актуальных версий операционной системы, информация о которой демонстрируется в сведениях об устройстве (например, Android 10), на них установлена давно устаревшая версия 4.4.2.
Затронутыми оказались как минимум 4 модели смартфонов: P48pro, radmi note 8, Note30u, Mate40. Названия этих устройств созвучны с названиями моделей известных производителей. Это вкупе с ложными сведениями об установленной версии ОС фактически позволяет рассматривать данные устройства как подделки.
Во всех представленных случаях, Dr.Web зафиксировал злонамеренные модификации системных библиотек, запуск троянов и загрузку дополнительных вредоносных модулей.
Например, одна из вариаций бэкдора подключалась к управляющему серверу, передавая в запросе определенные технические данные об устройстве. В ответ сервер направлял трояну список плагинов для загрузки и установки. Вредоносные программы и скачиваемые ими модули работают таким образом, что фактически становятся частью целевых приложений, — в этом и заключается их опасность. Они получают доступ к файлам атакуемых программ и могут читать переписку, осуществлять спам-рассылки, перехватывать и прослушивать телефонные звонки и выполнять другие вредоносные действия — в зависимости от функциональности загружаемых модулей.
Чтобы сократить риски взлома или кражи конфиденциальной информации Dr.Web рекомендует приобретать мобильные устройства в официальных магазинах и у надежных поставщиков.