يعثر الباحثون على هواتف مزيفة نماذج أجهزة Android ذات الميزانية المحدودة وهي إصدارات مزيفة مرتبطة بعلامات تجارية شهيرة للهواتف الذكية .
تؤوي أحصنة طروادة متعددة مصممة لاستهداف تطبيقات WhatsApp و WhatsApp Business للمراسلة.
تم اكتشاف البرنامج الضار ، الذي ظهر Doctor Web لأول مرة في يوليو 2022.
في قسم النظام لما لا يقل عن أربعة هواتف ذكية مختلفة: P48pro ، و radmi note 8 ، و Note30u ، و Mate40 ،
وقالت شركة الأمن السيبراني في تقرير نشر اليوم :
“هذه الحوادث توحدها حقيقة أن الأجهزة التي تعرضت للهجوم كانت نسخًا مقلدة لنماذج ذات أسماء تجارية مشهورة يعثر الباحثون على هواتف مزيفة.
“علاوة على ذلك ، بدلاً من تثبيت أحد أحدث إصدارات نظام التشغيل عليها مع المعلومات المقابلة المعروضة في تفاصيل الجهاز (على سبيل المثال ، Android 10) .
كان لديهم الإصدار 4.4.2 الذي عفا عليه الزمن.”
على وجه التحديد ، يتعلق التلاعب بملفين “/system/lib/libcutils.so” و “/system/lib/libmtd.so” تم تعديلهما بطريقة تجعل مكتبة النظام libcutils.so مستخدمة بواسطة أي تطبيق .
يؤدي إلى تنفيذ أحد طروادة المدمجة في libmtd.so.
إذا كانت التطبيقات التي تستخدم المكتبات هي WhatsApp و WhatsApp Business .
فإن libmtd.so يستمر في إطلاق باب خلفي ثالث تتمثل مسؤوليته الرئيسية في تنزيل وتثبيت مكونات إضافية من خادم بعيد على الأجهزة المعرضة للخطر.
وقال الباحثون: “يكمن خطر الأبواب الخلفية المكتشفة والوحدات النمطية التي يتم تنزيلها في أنها تعمل بطريقة تجعلها في الواقع جزءًا من التطبيقات المستهدفة”.
“نتيجة لذلك ، يمكنهم الوصول إلى ملفات التطبيقات التي تعرضت للهجوم ويمكنهم قراءة الدردشات وإرسال رسائل غير مرغوب فيها واعتراض المكالمات الهاتفية والاستماع إليها وتنفيذ إجراءات ضارة أخرى .
اعتمادًا على وظائف الوحدات التي تم تنزيلها.”
من ناحية أخرى يعثر الباحثون على هواتف مزيفة .
إذا تبين أن التطبيق الذي يستخدم المكتبات هو wpa_supplicant – برنامج خفي للنظام يُستخدم لإدارة اتصالات الشبكة .
فقد تم تكوين libmtd.so لبدء خادم محلي يسمح بالاتصالات من عميل بعيد أو محلي عبر “mysh ” وحدة التحكم.
افترض دكتور ويب أن غرسات أقسام النظام يمكن أن تكون جزءًا من عائلة البرامج الضارة FakeUpdates (المعروفة أيضًا باسم SocGholish ) .
استنادًا إلى اكتشاف طروادة أخرى مضمنة في تطبيق النظام المسؤول عن تحديثات البرامج الثابتة عبر الهواء (OTA).
تم تصميم التطبيق المارق ، من جانبه.
لاستخراج البيانات الوصفية التفصيلية حول الجهاز المصاب وكذلك تنزيل البرامج الأخرى وتثبيتها دون معرفة المستخدمين عبر برامج Lua النصية.
لتجنب خطر الوقوع ضحية لهجمات البرامج الضارة ، يوصى بأن يشتري المستخدمون الأجهزة المحمولة فقط من المتاجر الرسمية والموزعين الشرعيين.