Les chercheurs en sécurité de Doctor Web ont identifié au moins quatre smartphones Android contrefaits avec des chevaux de Troie dans la partition système qui cible WhatsApp et WhatsApp Business.
« Ces chevaux de Troie ciblent l’exécution de code arbitraire dans les applications de messagerie WhatsApp et WhatsApp Business et peuvent potentiellement être utilisés dans différents scénarios d’attaque. »
« Parmi eux, l’interception des chats et le vol des informations confidentielles qui pourraient s’y trouver ; ce malware peut également exécuter des campagnes de spam et divers schémas d’escroquerie », a déclaré Doctor Web.
Le fournisseur de sécurité a déclaré avoir été alerté du logiciel malveillant lorsque les utilisateurs ont signalé une activité suspecte sur leurs smartphones Android en juillet.
Il a découvert que les appareils avaient induit les utilisateurs en erreur en prétendant qu’ils fonctionnaient sous Android 10, mais Dr Web a découvert que tous les appareils concernés exécutaient Android 4.4.2.
Les quatre smartphones Android contrefaits concernés étaient les suivants :
- P48pro
- note radmi 8
- Remarque30u
- Mate40
Notamment, leurs noms ressemblent étrangement au numéro de modèle de marques très respectées comme Huawei, Xiaomi et Samsung. Cependant, ces appareils n’ont rien à voir avec ces entreprises.
« Les noms de ces modèles correspondent aux noms de certains des modèles produits par des fabricants célèbres. »
« Cela, couplé aux fausses informations sur la version du système d’exploitation installée, nous permet de facto de considérer ces appareils comme des contrefaçons », a déclaré le Dr Web.
Deux fichiers dans la partition système de ces appareils, « /system/lib/libcutils.so » et « /system/lib/libmtd.so » sont modifiés pour ouvrir diverses portes dérobées sur un appareil.
Lorsque libcutils.so est utilisé par une application, il lance un cheval de Troie à partir du fichier libmtd.so.
« Les actions [the libmtd.so trojan library] les performances sont basées sur le programme qui utilise la bibliothèque libcutils.so.
« Si les messageries WhatsApp et WhatsApp Business ou les applications système ‘Paramètres’ et ‘Téléphone’ l’utilisent, … le cheval de Troie copie une autre porte dérobée dans le répertoire de l’application appropriée et la lance. »
Les chercheurs en sécurité ont déclaré que cette porte dérobée est principalement responsable du téléchargement et de l’installation de modules malveillants supplémentaires.
« Le danger des portes dérobées découvertes et des modules qu’elles téléchargent est qu’elles fonctionnent de telle manière qu’elles font réellement partie des applications ciblées. »
« En conséquence, ils accèdent aux fichiers des applications attaquées et peuvent lire les chats, envoyer du spam, intercepter et écouter les appels téléphoniques et exécuter d’autres actions malveillantes, en fonction de la fonctionnalité des modules téléchargés », a déclaré Doctor Web.
Doctor Web a conseillé aux consommateurs d’acheter des smartphones auprès de distributeurs et de magasins officiels réputés, de maintenir les logiciels à jour et d’installer des antivirus pour éviter d’être victimes de portes dérobées.
