Выявлена атака на приложения WhatsApp  и WhatsApp Business пользователей  поддельных Android-устройств
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
декабрь    2022
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

29.11.2022

9 –11  декабря сообщество цифровых управленцев "я-ИТ-ы" проводит масштабное мероприятие, на котором соберутся более 130 ИТ-директоров со всех уголков России. По традиции мероприятие пройдет в отеле Azimut, Переславль-Залесский.

Читать далее 

28.11.2022

Правление РУССОФТ начало работу в новом составе

Читать далее 

23.11.2022

Новая версия российской ОС «Альт Рабочая станция К» 10.1: работа на  ноутбуках-трансформерах и планшетах, защищенный доступ к сайтам государственных информационных систем, поддержка широкого спектра периферийных устройств.

Читать далее 

22.11.2022

Объявлены даты конференции ЦИПР-2023

Читать далее 

показать все 

Статьи

17.11.2022

8 шагов к росту продаж программных продуктов

Читать далее 

16.11.2022

Замене не подлежит?

Читать далее 

18.10.2022

Ваш цифровой профиль

Читать далее 

10.07.2022

Помогут ли ИИ-технологии противостоять санкциям?

Читать далее 

29.04.2022

Можно ли продолжать цифровую трансформацию сегодня?

Читать далее 

13.02.2020

Чат-бот CallShark не требует зарплаты, а работает круглосуточно

Читать далее 

24.12.2019

До встречи в «Пьяном Сомелье»!

Читать далее 

21.12.2019

Искусство как награда Как изготавливали статуэтки для премии IT Stars им. Георгия Генса в сфере инноваций

Читать далее 

04.12.2019

ЛАНИТ учредил премию IT Stars памяти основателя компании Георгия Генса

Читать далее 

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

показать все 

Выявлена атака на приложения WhatsApp  и WhatsApp Business пользователей  поддельных Android-устройств

Главная / Новости партнеров / Выявлена атака на приложения WhatsApp  и WhatsApp Business пользователей  поддельных Android-устройств


Компания «Доктор Веб» сообщает об обнаружении бэкдоров в системном разделе ряда бюджетных моделей Android-смартфонов, которые являются подделками устройств известных брендов. Эти трояны нацелены на выполнение произвольного кода в мессенджерах WhatsApp и WhatsApp Business и потенциально могут использоваться в различных сценариях атак. Среди них — перехват чатов и кража содержащейся в них конфиденциальной информации, организация спам-рассылок, а также реализация разнообразных мошеннических схем. Однако это не единственный фактор риска для пользователей. Для данных устройств производителями заявлено наличие современной и безопасной версии ОС Android. В действительности же на них установлена сильно устаревшая версия, подверженная многочисленным уязвимостям.

 

В июле в вирусную лабораторию компании «Доктор Веб» обратилось сразу несколько пользователей с жалобами на подозрительную активность на принадлежащих им Android-смартфонах. В частности, антивирус Dr.Web фиксировал изменение системной области памяти, а также появление одинаковых во всех случаях вредоносных приложений в системном разделе. Отмеченные инциденты объединяет то, что атакованные устройства являются копиями моделей известных брендов. Кроме того, вместо одной из актуальных версий операционной системы, информация о которой демонстрируется в сведениях об устройстве (например, Android 10), на них установлена давно устаревшая версия 4.4.2.

Затронутыми оказались как минимум 4 модели смартфонов:

  • «P48pro»
  • «radmi note 8»
  • «Note30u»
  • «Mate40»

Названия этих моделей созвучны с названиями ряда моделей известных производителей. Это вкупе с ложными сведениями об установленной версии ОС фактически позволяет рассматривать данные устройства как подделки.

Благодаря функции контроля целостности системного раздела и отслеживания изменений файлов в нем антивирус Dr.Web зафиксировал изменения следующих объектов:

  • /system/lib/libcutils.so
  • /system/lib/libmtd.so

libcutils.so — это системная библиотека, которая сама по себе не представляет опасности. Однако она была модифицирована таким образом, что при ее использовании любой программой происходит запуск трояна из файла libmtd.so. Измененная версия данной библиотеки детектируется антивирусом Dr.Web как Android.BackDoor.3105.

Троянская библиотека libmtd.so получила по классификации компании «Доктор Веб» имя Android.BackDoor.3104. Выполняемые ей действия зависят от того, какое приложение использует библиотеку libcutils.so (то есть какое из них фактически привело к запуску бэкдора через нее). Если это были приложения WhatsApp и WhatsApp Business, а также системные программы «Настройки» и «Телефон», Android.BackDoor.3104 переходит ко второй стадии заражения. Для этого троян копирует в каталог соответствующего приложения другой бэкдор (добавлен в вирусную базу Dr.Web как Android.Backdoor.854.origin), который затем запускает. Основная функция этого компонента — загрузка и установка дополнительных вредоносных модулей.

Для загрузки модулей Android.Backdoor.854.origin подключается к одному из нескольких управляющих серверов, передавая в запросе определенный массив технических данных об устройстве. В ответ сервер направляет трояну список плагинов, которые тот загружает, расшифровывает и запускает. Обнаруженные вредоносные программы и скачиваемые ими модули функционируют таким образом, что фактически становятся частью целевых приложений, — в этом и заключается их опасность. В результате они получают доступ к файлам атакуемых программ и могут читать переписку, осуществлять спам-рассылки, перехватывать и прослушивать телефонные звонки и выполнять другие вредоносные действия — в зависимости от функциональности загружаемых модулей.

Если же в запуске трояна участвовало системное приложение wpa_supplicant (оно управляет беспроводным соединением), то Android.BackDoor.3104 запускает локальный сервер. Он позволяет удаленному или локальному клиенту подключаться и работать в консольной программе «mysh», которая предварительно должна быть установлена на устройство или изначально присутствовать в его прошивке.

Наиболее вероятным источником появления вредоносных приложений в системном разделе атакованных устройств мог выступать представитель известного на протяжении многих лет семейства троянов Android.FakeUpdates. Злоумышленники встраивают их в различные системные компоненты — программу обновления прошивки, приложение настроек или компонент, отвечающий за графический интерфейс системы. В процессе работы они выполняют разнообразные Lua-скрипты, с помощью которых, в частности, способны загружать и устанавливать другое ПО. Именно такая троянская программа — Android.FakeUpdates.1.origin — была выявлена на одном из целевых смартфонов.

Во избежание риска столкнуться с действиями этих и других вредоносных приложений «Доктор Веб» рекомендует пользователям приобретать мобильные устройства в официальных магазинах и у надежных поставщиков, использовать антивирус, а также устанавливать все доступные обновления для операционной системы.

 

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №08 (121) 2022г.
Выпуск №08 (121) 2022г. Выпуск №07 (120) 2022г. Выпуск №06 (119) 2022г. Выпуск №05 (118) 2022г. Выпуск №04 (117) 2022г. Выпуск №03 (116) 2022г. Выпуск №01 (114) 2022г. Выпуск №02 (115) 2022г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика