Pirater Des Comptes Whatsapp

Les modèles d’appareils Android économiques qui sont des versions contrefaites associées à des marques de smartphones populaires hébergent plusieurs chevaux de Troie conçus pour cibler les applications de messagerie WhatsApp et WhatsApp Business.

Les chevaux de Troie, que Doctor Web a rencontrés pour la première fois en juillet 2022, ont été découverts dans la partition système d’au moins quatre smartphones différents : P48pro, radmi note 8, Note30u et Mate40.

« Ces incidents sont unis par le fait que les appareils attaqués étaient des imitateurs de modèles de marque célèbres », a déclaré la société de cybersécurité. a dit dans un rapport publié aujourd’hui.

« De plus, au lieu d’avoir l’une des dernières versions du système d’exploitation installée sur eux avec les informations correspondantes affichées dans les détails de l’appareil (par exemple, Android 10), ils avaient la version 4.4.2 obsolète depuis longtemps. »

La Cyber-Sécurité

Plus précisément, la falsification concerne deux fichiers « /system/lib/libcutils.so » et « /system/lib/libmtd.so » qui sont modifiés de telle manière que lorsque la bibliothèque système libcutils.so est utilisée par n’importe quelle application, elle déclencheurs l’exécution d’un cheval de Troie incorporé dans libmtd.so.

Publicité

Si les applications utilisant les bibliothèques sont WhatsApp et WhatsApp Business, libmtd.so procède à lancement une troisième porte dérobée dont la principale responsabilité est de télécharger et d’installer des plugins supplémentaires à partir d’un serveur distant sur les appareils compromis.

« Le danger des portes dérobées découvertes et des modules qu’elles téléchargent est qu’elles fonctionnent de telle manière qu’elles font en fait partie des applications ciblées », ont déclaré les chercheurs.

« En conséquence, ils ont accès aux fichiers des applications attaquées et peuvent lire les chats, envoyer du spam, intercepter et écouter les appels téléphoniques et exécuter d’autres actions malveillantes, en fonction de la fonctionnalité des modules téléchargés. »

D’autre part, si l’application utilisant les bibliothèques s’avère être wpa_supplicant – un démon système qui est utilisé pour gérer les connexions réseau – libmtd.so est configuré pour démarrer un serveur local qui permet les connexions à partir d’un client distant ou local via la console « mysh ».

La Cyber-Sécurité

Doctor Web a émis l’hypothèse que les implants de partition système pourraient faire partie des FakeUpdates (alias SocGholish) famille de logiciels malveillants basée sur la découverte d’un autre cheval de Troie intégré dans l’application système responsable des mises à jour du micrologiciel en direct (OTA).

L’application malveillante, pour sa part, est conçu pour exfiltrer des métadonnées détaillées sur l’appareil infecté ainsi que télécharger et installer d’autres logiciels à l’insu des utilisateurs via des scripts Lua.

Pour éviter le risque d’être victime de telles attaques de logiciels malveillants, il est recommandé aux utilisateurs d’acheter des appareils mobiles uniquement dans des magasins officiels et des distributeurs légitimes.


Rate this post
Publicité
Article précédentComment exécuter des charges de travail Kubernetes dans systemd avec Podman
Article suivantTest du Montech Sky One Lite
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici