октябрь    2025

Пн	Вт	Ср	Чт	Пт	Сб	Вс
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

показать все 

16.10.2025

На GIS DAYS 2025 в четвёртый раз подвели итоги «Биржи ИБ- и IT-стартапов»

Читать далее 

15.10.2025

«Электрорешения» совместно с ИТ-интегратором «ФТО» запустили адресный склад в 1С:ERP, повысив точность исполнения заказов

Читать далее 

15.10.2025

Саммит ЦОД задаёт траекторию развития отрасли в России

Читать далее 

15.10.2025

Системный интегратор DBI заменил импортный софт в IT-инфраструктуре «Арнест Косметикс»

Читать далее 

09.10.2025

Практику и новые инструменты для автоматизации крупного бизнеса представили на Docsvision Day 2025

Читать далее 

показать все 

18.10.2025

Как посчитать реальную выгоду от ИИ в видеонаблюдении?

Читать далее 

18.10.2025

Управление расходами: режем косты с помощью ИИ

Читать далее 

17.10.2025

Безопасность как сервис (SECaaS)

Читать далее 

16.10.2025

До 97% выросло количество людей, которые реагируют на утечку своих персональных данных

Читать далее 

09.10.2025

Безопасность как сервис (SECaaS).

Читать далее 

29.07.2025

Точность до метра и сантиметра: как применяют технологии позиционирования

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

22.09.2023

Эпоха российской ориентации на Запад в сфере программного обеспечения завершилась

Читать далее 

22.09.2023

Сладкая жизнь

Читать далее 

22.09.2023

12 бизнес-концепций, которыми должны овладеть ИТ-руководители

Читать далее 

показать все 

Главная / Новости партнеров / Выявлена атака на приложения WhatsApp  и WhatsApp Business пользователей  поддельных Android-устройств

Компания «Доктор Веб» сообщает об обнаружении бэкдоров в системном разделе ряда бюджетных моделей Android-смартфонов, которые являются подделками устройств известных брендов. Эти трояны нацелены на выполнение произвольного кода в мессенджерах WhatsApp и WhatsApp Business и потенциально могут использоваться в различных сценариях атак. Среди них — перехват чатов и кража содержащейся в них конфиденциальной информации, организация спам-рассылок, а также реализация разнообразных мошеннических схем. Однако это не единственный фактор риска для пользователей. Для данных устройств производителями заявлено наличие современной и безопасной версии ОС Android. В действительности же на них установлена сильно устаревшая версия, подверженная многочисленным уязвимостям.

В июле в вирусную лабораторию компании «Доктор Веб» обратилось сразу несколько пользователей с жалобами на подозрительную активность на принадлежащих им Android-смартфонах. В частности, антивирус Dr.Web фиксировал изменение системной области памяти, а также появление одинаковых во всех случаях вредоносных приложений в системном разделе. Отмеченные инциденты объединяет то, что атакованные устройства являются копиями моделей известных брендов. Кроме того, вместо одной из актуальных версий операционной системы, информация о которой демонстрируется в сведениях об устройстве (например, Android 10), на них установлена давно устаревшая версия 4.4.2.

Затронутыми оказались как минимум 4 модели смартфонов:

• «P48pro»
• «radmi note 8»
• «Note30u»
• «Mate40»

Названия этих моделей созвучны с названиями ряда моделей известных производителей. Это вкупе с ложными сведениями об установленной версии ОС фактически позволяет рассматривать данные устройства как подделки.

Благодаря функции контроля целостности системного раздела и отслеживания изменений файлов в нем антивирус Dr.Web зафиксировал изменения следующих объектов:

• /system/lib/libcutils.so
• /system/lib/libmtd.so

libcutils.so — это системная библиотека, которая сама по себе не представляет опасности. Однако она была модифицирована таким образом, что при ее использовании любой программой происходит запуск трояна из файла libmtd.so. Измененная версия данной библиотеки детектируется антивирусом Dr.Web как Android.BackDoor.3105.

Троянская библиотека libmtd.so получила по классификации компании «Доктор Веб» имя Android.BackDoor.3104. Выполняемые ей действия зависят от того, какое приложение использует библиотеку libcutils.so (то есть какое из них фактически привело к запуску бэкдора через нее). Если это были приложения WhatsApp и WhatsApp Business, а также системные программы «Настройки» и «Телефон», Android.BackDoor.3104 переходит ко второй стадии заражения. Для этого троян копирует в каталог соответствующего приложения другой бэкдор (добавлен в вирусную базу Dr.Web как Android.Backdoor.854.origin), который затем запускает. Основная функция этого компонента — загрузка и установка дополнительных вредоносных модулей.

Для загрузки модулей Android.Backdoor.854.origin подключается к одному из нескольких управляющих серверов, передавая в запросе определенный массив технических данных об устройстве. В ответ сервер направляет трояну список плагинов, которые тот загружает, расшифровывает и запускает. Обнаруженные вредоносные программы и скачиваемые ими модули функционируют таким образом, что фактически становятся частью целевых приложений, — в этом и заключается их опасность. В результате они получают доступ к файлам атакуемых программ и могут читать переписку, осуществлять спам-рассылки, перехватывать и прослушивать телефонные звонки и выполнять другие вредоносные действия — в зависимости от функциональности загружаемых модулей.

Если же в запуске трояна участвовало системное приложение wpa_supplicant (оно управляет беспроводным соединением), то Android.BackDoor.3104 запускает локальный сервер. Он позволяет удаленному или локальному клиенту подключаться и работать в консольной программе «mysh», которая предварительно должна быть установлена на устройство или изначально присутствовать в его прошивке.

Наиболее вероятным источником появления вредоносных приложений в системном разделе атакованных устройств мог выступать представитель известного на протяжении многих лет семейства троянов Android.FakeUpdates. Злоумышленники встраивают их в различные системные компоненты — программу обновления прошивки, приложение настроек или компонент, отвечающий за графический интерфейс системы. В процессе работы они выполняют разнообразные Lua-скрипты, с помощью которых, в частности, способны загружать и устанавливать другое ПО. Именно такая троянская программа — Android.FakeUpdates.1.origin — была выявлена на одном из целевых смартфонов.

Во избежание риска столкнуться с действиями этих и других вредоносных приложений «Доктор Веб» рекомендует пользователям приобретать мобильные устройства в официальных магазинах и у надежных поставщиков, использовать антивирус, а также устанавливать все доступные обновления для операционной системы.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи