Los modelos económicos de dispositivos Android que son versiones falsificadas asociadas con marcas populares de teléfonos inteligentes albergan múltiples troyanos diseñados para apuntar a las aplicaciones de mensajería de WhatsApp y WhatsApp Business.
Los troyanos, que Doctor Web detectó por primera vez en julio de 2022, se descubrieron en la partición del sistema de al menos cuatro teléfonos inteligentes diferentes: P48pro, radmi note 8, Note30u y Mate40.
“Estos incidentes están unidos por el hecho de que los dispositivos atacados eran imitaciones de modelos de marcas famosas”, dijo la firma de ciberseguridad. dijo en un informe publicado hoy.
“Además, en lugar de tener instalada una de las últimas versiones del sistema operativo con la información correspondiente que se muestra en los detalles del dispositivo (por ejemplo, Android 10), tenían la versión 4.4.2 obsoleta”.
Específicamente, la manipulación se refiere a dos archivos “/system/lib/libcutils.so” y “/system/lib/libmtd.so” que se modifican de tal manera que cuando cualquier aplicación utiliza la biblioteca del sistema libcutils.so, disparadores la ejecución de un troyano incorporado en libmtd.so.
Si las aplicaciones que usan las bibliotecas son WhatsApp y WhatsApp Business, libmtd.so procede a lanzar una tercera puerta trasera cuya principal responsabilidad es descargar e instalar complementos adicionales desde un servidor remoto en los dispositivos comprometidos.
“El peligro de las puertas traseras descubiertas y los módulos que descargan es que funcionan de tal manera que en realidad se convierten en parte de las aplicaciones objetivo”, dijeron los investigadores.
“Como resultado, obtienen acceso a los archivos de las aplicaciones atacadas y pueden leer chats, enviar spam, interceptar y escuchar llamadas telefónicas y ejecutar otras acciones maliciosas, según la funcionalidad de los módulos descargados”.
Por otro lado, si la aplicación que usa las bibliotecas resulta ser wpa_supplicant – a demonio del sistema que se usa para administrar las conexiones de red: libmtd.so está configurado para iniciar un servidor local que permite conexiones desde un cliente remoto o local a través de la consola “mysh”.
Doctor Web teorizó que los implantes de partición del sistema podrían ser parte de FakeUpdates (también conocido como SocGholish) familia de malware basada en el descubrimiento de otro troyano incrustado en la aplicación del sistema responsable de las actualizaciones de firmware por aire (OTA).
La aplicación maliciosa, por su parte, es diseñado para filtrar metadatos detallados sobre el dispositivo infectado, así como descargar e instalar otro software sin el conocimiento de los usuarios a través de secuencias de comandos Lua.
Para evitar el riesgo de ser víctima de tales ataques de malware, se recomienda que los usuarios compren dispositivos móviles solo en tiendas oficiales y distribuidores legítimos.
About the Author
