-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Podmienione telefony niby „znanych marek” ze zbackdoorowaną wersją Androida

25 sierpnia 2022, 21:53 | W biegu | 1 komentarz

Portal Dr. Web informuje o wykryciu backdoorów w partycjach systemowych budżetowych modeli smartfonów z Androidem. Złośliwe oprogramowanie cechuje się możliwością wykonania dowolnego kodu w zbackdoorowanym komunikatorze WhatsApp oraz jego biznesowej wersji. Wśród scenariuszy ataków może być przechwytywanie czatów, kradzież informacji i realizacja kampanii spamowych. Na urządzeniach gdzie problem wykryto, rzekomo zainstalowano nowoczesną i bezpieczną wersję Androida. Gdzie jest niezwykłość całej sytuacji?

Urządzenia na których wykryto backdoora okazały się prawie idealną kopią oryginalnych urządzeń, które użytkownicy kupili ze świadomością zakupu oryginału.

Już w lipcu, użytkownicy skontaktowali się z Dr. Web w sprawie zgłaszania podejrzanych aktywności na smartfonach. W szczególności dostrzeżono zmiany pamięci, a także pojawienie się złośliwego oprogramowania. Co więcej, udowodniono, że zainstalowany system operacyjny nie był Androidem w wersji 10, a zaledwie w wersji 4.4.2, czyli bardzo starej i podatnej. Raport dotyczy co najmniej czterech modeli o nazwach: “P48 Pro”, “Radmi Note 8”, “Note 30U”, “Mate 40”. Nazwy tych modeli są bardzo zbliżone z nazwami modeli znanych producentów. To, w połączeniu z fałszywymi informacjami o zainstalowanej wersji systemu operacyjnego, de facto pozwala uznać te urządzenia za podróbki.

Zmiany zostały namierzone w plikach /system/lib/libcutils.so oraz /system/lib/libmtd.so (mtd-utils). Pierwsza biblioteka systemowa w przypadku użycia uruchamia trojana z pliku libmtd.so identyfikującego się jako Android.BackDoor.3105 (według nazewnictwa Dr.Web). W przypadku zmian w drugiej bibliotece, złośliwe oprogramowanie zostało określone nazwą Android.BackDoor.3104. W przypadku gdy na telefonie zainstalowany jest WhastApp lub WhatsApp Business, jeszcze dodatkowo aktywowany jest malware Android.Backdoor.854.origin, którego główną funkcją jest pobieranie z serwera C2 i instalowanie dodatkowych złośliwych modułów (więc jest loaderem) i dalsze infekowanie. 

Istnieje duże prawdopodobieństwo, że odnalezione malware są częścią rodziny infekcji FakeUpdates SocGholish ze względu na wykrycie dodatkowego malware w module systemowym wpa_supplicant (odpowiedzialnego, za połączenie bezprzewodowe). Malware ten odpowiada za złośliwą aktualizację firmware w locie (OTA, over-the-air).

Zalecamy by nie kupować smartfonów z nieznanych źródeł, a wyłącznie w oficjalnych sklepach i u legalnych dystrybutorów. 

Źródło:

  1. https://news.drweb.com/show/?i=14542&lng=en&c=5 
  2. https://vms.drweb.com/virus/?i=25394595&lng=en
  3. https://vms.drweb.com/virus/?i=25400179&lng=en
  4. https://vms.drweb.com/virus/?i=25400180&lng=en 

~tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. ABBA

    Komuś jeszcze potrzeby kolejny powód, żeby nie kupować taniej chińszczyzny?

    Odpowiedz

Odpowiedz