Məşhur smartfon markaları ilə əlaqəli saxta versiyalar olan büdcə Android cihaz modelləri WhatsApp və WhatsApp Business mesajlaşma proqramlarını hədəf almaq üçün hazırlanmış çoxsaylı troyanları ehtiva edir.
Doctor Web-in ilk dəfə 2022-ci ilin iyulunda rastlaşdığı troyanlar ən azı dörd fərqli smartfonun sistem bölməsində aşkar edilib: P48pro, radmi note 8, Note30u və Mate40.
“Bu insidentləri hücuma məruz qalan cihazların məşhur brend modellərin surətləri olması faktı birləşdirir”, – kibertəhlükəsizlik firması bu gün dərc olunan hesabatda bildirib.
“Üstəlik, cihaz təfərrüatlarında müvafiq məlumatlarla (məsələn, Android 10) quraşdırılmış ən son ƏS versiyalarından birinə sahib olmaq əvəzinə, onlar çoxdan köhnəlmiş 4.4.2 versiyasına sahib idilər.”
Konkret olaraq, saxtalaşdırma iki “/system/lib/libcutils.so” və “/system/lib/libmtd.so” fayllarına aiddir ki, onlar elə dəyişdirilir ki, libcutils.so sistem kitabxanası hər hansı proqram tərəfindən istifadə edildikdə, libmtd.so-ya daxil edilmiş troyan proqramının icrasını tetikler.
WhatsApp Business
Tədqiqatçılar “Kəşf edilmiş arxa qapıların və onların yüklədikləri modulların təhlükəsi ondan ibarətdir ki, onlar elə fəaliyyət göstərirlər ki, əslində hədəf tətbiqlərin bir hissəsinə çevrilirlər”.
“Nəticədə onlar hücuma məruz qalan proqramların fayllarına giriş əldə edir və yüklənmiş modulların funksionallığından asılı olaraq çatları oxuya, spam göndərə, telefon zənglərini ələ keçirə və dinləyə, digər zərərli hərəkətləri həyata keçirə bilər”.
Digər tərəfdən, kitabxanalardan istifadə edən proqram wpa_supplicant – şəbəkə bağlantılarını idarə etmək üçün istifadə olunan sistem demonu kimi çıxsa, libmtd.so “mysh” vasitəsilə uzaqdan və ya yerli müştəridən əlaqə yaratmağa imkan verən yerli serveri işə salmaq üçün konfiqurasiya edilib. “konsol.
Doctor Web, sistem bölməsi implantlarının havadan (OTA) mikroproqram yeniləmələrinə cavabdeh olan sistem proqramına daxil edilmiş başqa bir troyan aşkarlanması əsasında FakeUpdates (aka SocGholish) zərərli proqram ailəsinin bir hissəsi ola biləcəyini nəzəriyyə etdi.
Yaramaz proqram, öz növbəsində, yoluxmuş cihaz haqqında təfərrüatlı metaməlumatları çıxarmaq, həmçinin Lua skriptləri vasitəsilə istifadəçilərin xəbəri olmadan digər proqram təminatını yükləmək və quraşdırmaq üçün hazırlanmışdır.
Bu cür zərərli proqram hücumlarının qurbanı olmaq riskinin qarşısını almaq üçün istifadəçilərə mobil cihazları yalnız rəsmi mağazalardan və qanuni distribyutorlardan alması tövsiyə olunur.
