Los modelos econ\u00f3micos de dispositivos Android que son versiones falsificadas asociadas con marcas populares de tel\u00e9fonos inteligentes albergan m\u00faltiples troyanos dise\u00f1ados para apuntar a las aplicaciones de mensajer\u00eda de WhatsApp y WhatsApp Business.<\/p>\n
Los troyanos, que Doctor Web detect\u00f3 por primera vez en julio de 2022, se descubrieron en la partici\u00f3n del sistema de al menos cuatro tel\u00e9fonos inteligentes diferentes: P48pro, radmi note 8, Note30u y Mate40. <\/p>\n
\u201cEstos incidentes est\u00e1n unidos por el hecho de que los dispositivos atacados eran imitaciones de modelos de marcas famosas\u201d, dijo la firma de ciberseguridad. dijo<\/a> en un informe publicado hoy.<\/p>\n “Adem\u00e1s, en lugar de tener instalada una de las \u00faltimas versiones del sistema operativo con la informaci\u00f3n correspondiente que se muestra en los detalles del dispositivo (por ejemplo, Android 10), ten\u00edan la versi\u00f3n 4.4.2 obsoleta”.<\/p>\n Espec\u00edficamente, la manipulaci\u00f3n se refiere a dos archivos “\/system\/lib\/libcutils.so” y “\/system\/lib\/libmtd.so” que se modifican de tal manera que cuando cualquier aplicaci\u00f3n utiliza la biblioteca del sistema libcutils.so, disparadores<\/a> la ejecuci\u00f3n de un troyano incorporado en libmtd.so.<\/p>\n Si las aplicaciones que usan las bibliotecas son WhatsApp y WhatsApp Business, libmtd.so procede a lanzar<\/a> una tercera puerta trasera cuya principal responsabilidad<\/a> es descargar e instalar complementos adicionales desde un servidor remoto en los dispositivos comprometidos.<\/p>\n “El peligro de las puertas traseras descubiertas y los m\u00f3dulos que descargan es que funcionan de tal manera que en realidad se convierten en parte de las aplicaciones objetivo”, dijeron los investigadores.<\/p>\n “Como resultado, obtienen acceso a los archivos de las aplicaciones atacadas y pueden leer chats, enviar spam, interceptar y escuchar llamadas telef\u00f3nicas y ejecutar otras acciones maliciosas, seg\u00fan la funcionalidad de los m\u00f3dulos descargados”.<\/p>\n Por otro lado, si la aplicaci\u00f3n que usa las bibliotecas resulta ser wpa_supplicant<\/a> – a demonio del sistema<\/a> que se usa para administrar las conexiones de red: libmtd.so est\u00e1 configurado para iniciar un servidor local que permite conexiones desde un cliente remoto o local a trav\u00e9s de la consola “mysh”.<\/p>\n Doctor Web teoriz\u00f3 que los implantes de partici\u00f3n del sistema podr\u00edan ser parte de FakeUpdates (tambi\u00e9n conocido como SocGholish<\/a>) familia de malware basada en el descubrimiento de otro troyano incrustado en la aplicaci\u00f3n del sistema responsable de las actualizaciones de firmware por aire (OTA).<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/Investigadores-encuentran-telefonos-falsificados-con-puerta-trasera-para-hackear-cuentas.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1661187374_43_Investigadores-encuentran-telefonos-falsificados-con-puerta-trasera-para-hackear-cuentas.png\")
<\/a><\/div>\n