Les modèles d’appareils Android économiques qui sont des versions contrefaites associées à des marques de smartphones populaires ont plusieurs chevaux de Troie conçus pour cibler les applications de messagerie WhatsApp et WhatsApp Business.
Le malware, que Doctor Web a rencontré pour la première fois en juillet 2022, a été découvert dans la partition système d’au moins quatre smartphones différents : P48pro, radmi note 8, Note30u et Mate40, était
“Ces incidents sont unis par le fait que les appareils attaqués étaient des copies de modèles de marque bien connus”, a déclaré la société de cybersécurité dans un rapport publié aujourd’hui.
“De plus, au lieu d’avoir l’une des dernières versions du système d’exploitation installée sur eux avec les informations correspondantes affichées dans les détails de l’appareil (comme Android 10), ils avaient la version 4.4.2 obsolète depuis longtemps.”
En particulier, la falsification concerne deux fichiers “/system/lib/libcutils.so” et “/system/lib/libmtd.so” qui sont modifiés de telle sorte que lorsque la bibliothèque système libcutils.so est utilisée par une application, l’exécution d’un cheval de Troie inclus dans libmtd.so.
Si les applications utilisant les bibliothèques sont WhatsApp et WhatsApp Business, libmtd.so procède au lancement d’une troisième porte dérobée dont la principale responsabilité est de télécharger et d’installer des plugins supplémentaires à partir d’un serveur distant sur les appareils compromis.
“Le danger avec les portes dérobées découvertes et les modules qu’elles téléchargent est qu’elles fonctionnent de telle manière qu’elles deviennent en fait une partie des applications ciblées”, ont déclaré les chercheurs.
“En conséquence, ils ont accès aux fichiers des applications attaquées et peuvent lire les chats, envoyer du spam, écouter et écouter les conversations téléphoniques et effectuer d’autres actions malveillantes, en fonction de la fonctionnalité des modules téléchargés.”
D’autre part, si l’application utilisant les bibliothèques s’avère être wpa_supplicant – un démon système utilisé pour gérer les connexions réseau – libmtd.so est configuré pour démarrer un serveur local qui autorise les connexions à partir d’un client distant ou local via “mysh” ” console.
Doctor Web a émis l’hypothèse que les implants de partition système auraient pu être distribués via un cheval de Troie faisant partie de la famille de logiciels malveillants FakeUpdates (alias SocGholish) sur la base de la découverte d’une porte dérobée intégrée à l’application système responsable des mises à jour du firmware en direct (OTA). .
L’application malveillante, quant à elle, est conçue pour exfiltrer des métadonnées détaillées sur l’appareil infecté, ainsi que pour télécharger et installer d’autres logiciels à l’insu des utilisateurs via des scripts Lua.
Pour éviter le risque d’être victime de telles attaques de logiciels malveillants, il est recommandé aux utilisateurs d’acheter des appareils mobiles uniquement dans des magasins officiels et des distributeurs légitimes.
