Les modèles d’appareils Android économiques qui sont des versions contrefaites associées à des marques de smartphones populaires hébergent plusieurs chevaux de Troie conçus pour cibler les applications de messagerie WhatsApp et WhatsApp Business.
Les chevaux de Troie, que Doctor Web a rencontrés pour la première fois en juillet 2022, ont été découverts dans la partition système d’au moins quatre smartphones différents : P48pro, radmi note 8, Note30u et Mate40.
« Ces incidents sont unis par le fait que les appareils attaqués étaient des imitateurs de modèles de marque célèbres », a déclaré la société de cybersécurité. a dit dans un rapport publié aujourd’hui.
« De plus, au lieu d’avoir l’une des dernières versions du système d’exploitation installée sur eux avec les informations correspondantes affichées dans les détails de l’appareil (par exemple, Android 10), ils avaient la version 4.4.2 obsolète depuis longtemps. »
Plus précisément, la falsification concerne deux fichiers « /system/lib/libcutils.so » et « /system/lib/libmtd.so » qui sont modifiés de telle manière que lorsque la bibliothèque système libcutils.so est utilisée par n’importe quelle application, elle déclencheurs l’exécution d’un cheval de Troie incorporé dans libmtd.so.
Si les applications utilisant les bibliothèques sont WhatsApp et WhatsApp Business, libmtd.so procède à lancement une troisième porte dérobée dont la principale responsabilité est de télécharger et d’installer des plugins supplémentaires à partir d’un serveur distant sur les appareils compromis.
« Le danger des portes dérobées découvertes et des modules qu’elles téléchargent est qu’elles fonctionnent de telle manière qu’elles font en fait partie des applications ciblées », ont déclaré les chercheurs.
« En conséquence, ils ont accès aux fichiers des applications attaquées et peuvent lire les chats, envoyer du spam, intercepter et écouter les appels téléphoniques et exécuter d’autres actions malveillantes, en fonction de la fonctionnalité des modules téléchargés. »
D’autre part, si l’application utilisant les bibliothèques s’avère être wpa_supplicant – un démon système qui est utilisé pour gérer les connexions réseau – libmtd.so est configuré pour démarrer un serveur local qui permet les connexions à partir d’un client distant ou local via la console « mysh ».
Doctor Web a émis l’hypothèse que les implants de partition système pourraient faire partie des FakeUpdates (alias SocGholish) famille de logiciels malveillants basée sur la découverte d’un autre cheval de Troie intégré dans l’application système responsable des mises à jour du micrologiciel en direct (OTA).
L’application malveillante, pour sa part, est conçu pour exfiltrer des métadonnées détaillées sur l’appareil infecté ainsi que télécharger et installer d’autres logiciels à l’insu des utilisateurs via des scripts Lua.
Pour éviter le risque d’être victime de telles attaques de logiciels malveillants, il est recommandé aux utilisateurs d’acheter des appareils mobiles uniquement dans des magasins officiels et des distributeurs légitimes.