Les mod\u00e8les d’appareils Android \u00e9conomiques qui sont des versions contrefaites associ\u00e9es \u00e0 des marques de smartphones populaires h\u00e9bergent plusieurs chevaux de Troie con\u00e7us pour cibler les applications de messagerie WhatsApp et WhatsApp Business.<\/p>\n
Les chevaux de Troie, que Doctor Web a rencontr\u00e9s pour la premi\u00e8re fois en juillet 2022, ont \u00e9t\u00e9 d\u00e9couverts dans la partition syst\u00e8me d’au moins quatre smartphones diff\u00e9rents : P48pro, radmi note 8, Note30u et Mate40. <\/p>\n
“Ces incidents sont unis par le fait que les appareils attaqu\u00e9s \u00e9taient des imitateurs de mod\u00e8les de marque c\u00e9l\u00e8bres”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9. a dit<\/a> dans un rapport publi\u00e9 aujourd’hui.<\/p>\n “De plus, au lieu d’avoir l’une des derni\u00e8res versions du syst\u00e8me d’exploitation install\u00e9e sur eux avec les informations correspondantes affich\u00e9es dans les d\u00e9tails de l’appareil (par exemple, Android 10), ils avaient la version 4.4.2 obsol\u00e8te depuis longtemps.”<\/p>\n Plus pr\u00e9cis\u00e9ment, la falsification concerne deux fichiers “\/system\/lib\/libcutils.so” et “\/system\/lib\/libmtd.so” qui sont modifi\u00e9s de telle mani\u00e8re que lorsque la biblioth\u00e8que syst\u00e8me libcutils.so est utilis\u00e9e par n’importe quelle application, elle d\u00e9clencheurs<\/a> l’ex\u00e9cution d’un cheval de Troie incorpor\u00e9 dans libmtd.so.<\/p>\n Si les applications utilisant les biblioth\u00e8ques sont WhatsApp et WhatsApp Business, libmtd.so proc\u00e8de \u00e0 lancement<\/a> une troisi\u00e8me porte d\u00e9rob\u00e9e dont la principale responsabilit\u00e9<\/a> est de t\u00e9l\u00e9charger et d’installer des plugins suppl\u00e9mentaires \u00e0 partir d’un serveur distant sur les appareils compromis.<\/p>\n “Le danger des portes d\u00e9rob\u00e9es d\u00e9couvertes et des modules qu’elles t\u00e9l\u00e9chargent est qu’elles fonctionnent de telle mani\u00e8re qu’elles font en fait partie des applications cibl\u00e9es”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n “En cons\u00e9quence, ils ont acc\u00e8s aux fichiers des applications attaqu\u00e9es et peuvent lire les chats, envoyer du spam, intercepter et \u00e9couter les appels t\u00e9l\u00e9phoniques et ex\u00e9cuter d’autres actions malveillantes, en fonction de la fonctionnalit\u00e9 des modules t\u00e9l\u00e9charg\u00e9s.”<\/p>\n D’autre part, si l’application utilisant les biblioth\u00e8ques s’av\u00e8re \u00eatre wpa_supplicant<\/a> – un d\u00e9mon syst\u00e8me<\/a> qui est utilis\u00e9 pour g\u00e9rer les connexions r\u00e9seau – libmtd.so est configur\u00e9 pour d\u00e9marrer un serveur local qui permet les connexions \u00e0 partir d’un client distant ou local via la console “mysh”.<\/p>\n Doctor Web a \u00e9mis l’hypoth\u00e8se que les implants de partition syst\u00e8me pourraient faire partie des FakeUpdates (alias SocGholish<\/a>) famille de logiciels malveillants bas\u00e9e sur la d\u00e9couverte d’un autre cheval de Troie int\u00e9gr\u00e9 dans l’application syst\u00e8me responsable des mises \u00e0 jour du micrologiciel en direct (OTA).<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\")
<\/a><\/div>\n