نماذج أجهزة Android ذات الميزانية المحدودة وهي إصدارات مزيفة مرتبطة بعلامات تجارية شهيرة للهواتف الذكية تؤوي أحصنة طروادة متعددة مصممة لاستهداف تطبيقات WhatsApp و WhatsApp Business للمراسلة.

تم اكتشاف البرنامج الضار ، الذي ظهر Doctor Web لأول مرة في يوليو 2022 ، في قسم النظام لما لا يقل عن أربعة هواتف ذكية مختلفة: P48pro ، و radmi note 8 ، و Note30u ، و Mate40 ، وكان

وقالت شركة الأمن السيبراني في تقرير نشر اليوم : “هذه الحوادث توحدها حقيقة أن الأجهزة التي تعرضت للهجوم كانت نسخًا مقلدة لنماذج ذات أسماء تجارية مشهورة” .

“علاوة على ذلك ، بدلاً من تثبيت أحد أحدث إصدارات نظام التشغيل عليها مع المعلومات المقابلة المعروضة في تفاصيل الجهاز (على سبيل المثال ، Android 10) ، كان لديهم الإصدار 4.4.2 الذي عفا عليه الزمن.”

على وجه التحديد ، يتعلق التلاعب بملفين “/system/lib/libcutils.so” و “/system/lib/libmtd.so” تم تعديلهما بطريقة تجعل مكتبة النظام libcutils.so مستخدمة بواسطة أي تطبيق ، يؤدي إلى تنفيذ أحد طروادة المدمجة في libmtd.so.

إذا كانت التطبيقات التي تستخدم المكتبات هي WhatsApp و WhatsApp Business ، فإن libmtd.so يستمر في إطلاق باب خلفي ثالث تتمثل مسؤوليته الرئيسية في تنزيل وتثبيت مكونات إضافية من خادم بعيد على الأجهزة المعرضة للخطر.

وقال الباحثون: “يكمن خطر الأبواب الخلفية المكتشفة والوحدات النمطية التي يتم تنزيلها في أنها تعمل بطريقة تجعلها في الواقع جزءًا من التطبيقات المستهدفة”.

“نتيجة لذلك ، يمكنهم الوصول إلى ملفات التطبيقات التي تعرضت للهجوم ويمكنهم قراءة الدردشات وإرسال رسائل غير مرغوب فيها واعتراض المكالمات الهاتفية والاستماع إليها وتنفيذ إجراءات ضارة أخرى ، اعتمادًا على وظائف الوحدات التي تم تنزيلها.”

من ناحية أخرى ، إذا تبين أن التطبيق الذي يستخدم المكتبات هو wpa_supplicant – برنامج خفي للنظام يُستخدم لإدارة اتصالات الشبكة – فقد تم تكوين libmtd.so لبدء خادم محلي يسمح بالاتصالات من عميل بعيد أو محلي عبر “mysh ” وحدة التحكم.

افترض دكتور ويب أن غرسات أقسام النظام يمكن أن تكون جزءًا من عائلة البرامج الضارة FakeUpdates (المعروفة أيضًا باسم SocGholish ) استنادًا إلى اكتشاف طروادة أخرى مضمنة في تطبيق النظام المسؤول عن تحديثات البرامج الثابتة عبر الهواء (OTA).

تم تصميم التطبيق المارق ، من جانبه ، لاستخراج البيانات الوصفية التفصيلية حول الجهاز المصاب وكذلك تنزيل البرامج الأخرى وتثبيتها دون معرفة المستخدمين عبر برامج Lua النصية.

لتجنب خطر الوقوع ضحية لهجمات البرامج الضارة ، يوصى بأن يشتري المستخدمون الأجهزة المحمولة فقط من المتاجر الرسمية والموزعين الشرعيين.

Share.

Leave A Reply