Popüler akıllı telefon markalarıyla ilişkili sahte sürümler olan ekonomik Android cihaz modelleri, WhatsApp ve WhatsApp Business mesajlaşma uygulamalarını hedeflemek için tasarlanmış birden fazla truva atı barındırıyor.

Doctor Web’in ilk olarak Temmuz 2022’de karşılaştığı truva atları, en az dört farklı akıllı telefonun sistem bölümünde keşfedildi: P48pro, radmi note 8, Note30u ve Mate40.

Siber güvenlik firması, “Bu olaylar, saldırıya uğrayan cihazların ünlü marka modellerinin kopyaları olması gerçeğiyle birleşiyor” dedi. söz konusu bugün yayınlanan bir raporda

“Ayrıca, cihaz ayrıntılarında (örneğin, Android 10) ilgili bilgilerin görüntülendiği en son işletim sistemi sürümlerinden birine sahip olmak yerine, uzun süredir eski 4.4.2 sürümüne sahiplerdi.”

Spesifik olarak, kurcalama, “/system/lib/libcutils.so” ve “/system/lib/libmtd.so” adlı iki dosyayla ilgilidir ve bunlar, libcutils.so sistem kitaplığı herhangi bir uygulama tarafından kullanıldığında, tetikleyiciler libmtd.so’da bulunan bir truva atının yürütülmesi.

Kitaplıkları kullanan uygulamalar WhatsApp ve WhatsApp Business ise, libmtd.so şuraya ilerler: başlatmak ana olan üçüncü bir arka kapı sorumluluk uzak bir sunucudan güvenliği ihlal edilmiş cihazlara ek eklentiler indirip yüklemektir.

Araştırmacılar, “Keşfedilen arka kapıların ve indirdikleri modüllerin tehlikesi, hedeflenen uygulamaların bir parçası olacak şekilde çalışmalarıdır” dedi.

“Sonuç olarak, saldırıya uğrayan uygulamaların dosyalarına erişebiliyorlar ve indirilen modüllerin işlevselliğine bağlı olarak sohbetleri okuyabiliyor, spam gönderebiliyor, araya girip telefon görüşmelerini dinleyebiliyor ve diğer kötü niyetli eylemleri gerçekleştirebiliyorlar.”

Öte yandan, kütüphaneleri kullanan uygulama wpa_supplicant – a sistem arka plan programı ağ bağlantılarını yönetmek için kullanılır – libmtd.so, “mysh” konsolu aracılığıyla uzak veya yerel bir istemciden bağlantılara izin veren yerel bir sunucuyu başlatmak üzere yapılandırılmıştır.

Doctor Web, sistem bölümü implantlarının FakeUpdates’in (aka SocGholish) kablosuz (OTA) ürün yazılımı güncellemelerinden sorumlu sistem uygulamasına gömülü başka bir truva atının keşfedilmesine dayanan kötü amaçlı yazılım ailesi.

Hileli uygulama, kendi adına, mühendislik Lua komut dosyaları aracılığıyla kullanıcıların bilgisi olmadan diğer yazılımları indirip kurmanın yanı sıra virüslü cihazla ilgili ayrıntılı meta verileri sızdırmak için.

Bu tür kötü amaçlı yazılım saldırılarının kurbanı olma riskinden kaçınmak için kullanıcıların mobil cihazları yalnızca resmi mağazalardan ve yasal distribütörlerden satın almaları önerilir.



siber-2