Смартфоны с Android 4.4.2 действуют как приемник для загрузки вредоносного и шпионского ПО.

Бюджетные Android-смартфоны содержат множество троянов, предназначенных для компрометации WhatsApp и WhatsApp Business.

Трояны, с которыми компания Dr.Web впервые столкнулась в июле 2022 года, были обнаружены в системном разделе как минимум 4-х разных смартфонов: P48pro, Redmi Note 8, Note30u и Mate40. Более того, на устройствах была установлена устаревшая версия Android 4.4.2.

Файлы «/system/lib/libcutils.so» и «/system/lib/libmtd.so» изменены таким образом, что, когда системная библиотека «libcutils.so» используется каким-либо приложением, запускается троян , который встроен в библиотеку «libmtd.so».

Если библиотеку используют WhatsApp и WhatsApp Business, то «libmtd.so» запускает еще один бэкдор, предназначенный для загрузки и установки дополнительных плагинов с удаленного сервера на скомпрометированное устройство.

Опасность бэкдоров заключается в том, что они фактически становятся частью целевых приложений. В результате они получают доступ к файлам приложений и могут читать сообщения, рассылать спам, перехватывать и прослушивать телефонные звонки и выполнять другие вредоносные действия в зависимости от функциональности загружаемых модулей.

Эксперты Dr.Web предположили, что имплантаты системного раздела могут быть частью семейства вредоносных программ FakeUpdates (также известного как SocGholish ). Специалисты пришли к такому выводу после обнаружения еще одного встроенного в системное приложение трояна, осуществляющего обновление прошивки по воздуху over-the-air, OTA.

SocGholish разработано для извлечения подробных метаданных о зараженном устройстве, а также для загрузки и установки другого вредоносного ПО без ведома пользователя.

Чтобы избежать таких вредоносных атак, пользователям рекомендуется приобретать мобильные устройства только в официальных магазинах и у законных дистрибьюторов.

Источник: securitylab