يعثر الباحثون على هواتف مزيفة ذات باب خلفي (backdoor) لاختراق حسابات WhatsApp

يعثر الباحثون على هواتف مزيفة نماذج أجهزة Android ذات الميزانية المحدودة وهي إصدارات مزيفة مرتبطة بعلامات تجارية شهيرة للهواتف الذكية .

تؤوي أحصنة طروادة متعددة مصممة لاستهداف تطبيقات WhatsApp و WhatsApp Business للمراسلة.

تم اكتشاف البرنامج الضار ، الذي ظهر Doctor Web لأول مرة في يوليو 2022.

في قسم النظام لما لا يقل عن أربعة هواتف ذكية مختلفة: P48pro ، و radmi note 8 ، و Note30u ، و Mate40 ،

وقالت شركة الأمن السيبراني في تقرير نشر اليوم :

“هذه الحوادث توحدها حقيقة أن الأجهزة التي تعرضت للهجوم كانت نسخًا مقلدة لنماذج ذات أسماء تجارية مشهورة يعثر الباحثون على هواتف مزيفة.

“علاوة على ذلك ، بدلاً من تثبيت أحد أحدث إصدارات نظام التشغيل عليها مع المعلومات المقابلة المعروضة في تفاصيل الجهاز (على سبيل المثال ، Android 10) .

كان لديهم الإصدار 4.4.2 الذي عفا عليه الزمن.”

على وجه التحديد ، يتعلق التلاعب بملفين “/system/lib/libcutils.so” و “/system/lib/libmtd.so” تم تعديلهما بطريقة تجعل مكتبة النظام libcutils.so مستخدمة بواسطة أي تطبيق .

يؤدي إلى تنفيذ أحد طروادة المدمجة في libmtd.so.

إذا كانت التطبيقات التي تستخدم المكتبات هي WhatsApp و WhatsApp Business .

فإن libmtd.so يستمر في إطلاق باب خلفي ثالث تتمثل مسؤوليته الرئيسية في تنزيل وتثبيت مكونات إضافية من خادم بعيد على الأجهزة المعرضة للخطر.

وقال الباحثون: “يكمن خطر الأبواب الخلفية المكتشفة والوحدات النمطية التي يتم تنزيلها في أنها تعمل بطريقة تجعلها في الواقع جزءًا من التطبيقات المستهدفة”.

“نتيجة لذلك ، يمكنهم الوصول إلى ملفات التطبيقات التي تعرضت للهجوم ويمكنهم قراءة الدردشات وإرسال رسائل غير مرغوب فيها واعتراض المكالمات الهاتفية والاستماع إليها وتنفيذ إجراءات ضارة أخرى .

اعتمادًا على وظائف الوحدات التي تم تنزيلها.”

من ناحية أخرى يعثر الباحثون على هواتف مزيفة .

إذا تبين أن التطبيق الذي يستخدم المكتبات هو wpa_supplicant – برنامج خفي للنظام يُستخدم لإدارة اتصالات الشبكة .

فقد تم تكوين libmtd.so لبدء خادم محلي يسمح بالاتصالات من عميل بعيد أو محلي عبر “mysh ” وحدة التحكم.

افترض دكتور ويب أن غرسات أقسام النظام يمكن أن تكون جزءًا من عائلة البرامج الضارة FakeUpdates (المعروفة أيضًا باسم SocGholish ) .

استنادًا إلى اكتشاف طروادة أخرى مضمنة في تطبيق النظام المسؤول عن تحديثات البرامج الثابتة عبر الهواء (OTA).

تم تصميم التطبيق المارق ، من جانبه.

لاستخراج البيانات الوصفية التفصيلية حول الجهاز المصاب وكذلك تنزيل البرامج الأخرى وتثبيتها دون معرفة المستخدمين عبر برامج Lua النصية.

لتجنب خطر الوقوع ضحية لهجمات البرامج الضارة ، يوصى بأن يشتري المستخدمون الأجهزة المحمولة فقط من المتاجر الرسمية والموزعين الشرعيين.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة
يستخدم هذا الموقع ملفات تعريف الارتباط (الكوكيز) ليقدم لك تجربة تصفح أفضل. من خلال تصفح هذا الموقع ، فإنك توافق على استخدامنا لملفات تعريف الارتباط.