🔥 Công Ty TNHH Điêu Khắc Quang Cảnh đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty In Ấn Quảng Cáo 2H đã đăng ký tín nhiệm. 🔥                    🔥 Viện kiểm sát nhân dân tỉnh Bạc Liêu đã đăng ký tín nhiệm. 🔥                    🔥 Cục thống kê tỉnh Bạc Liêu đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Thương Mại Dịch Vụ Clickweb đã đăng ký tín nhiệm. 🔥                   

Phát hiện các mẫu điện thoại giả chứa backdoor để hack tài khoản WhatsApp

28/08/2022

Phát hiện nhiều mẫu điện thoại Android của các thương hiệu phổ biến bị làm giả có chứa các trojan được thiết kế để nhắm mục tiêu đến ứng dụng nhắn tin WhatsApp và WhatsApp Business.

Phần mềm độc hại mà Doctor Web phát hiện lần đầu vào tháng 7 năm 2022, đã được phát hiện lại trong phân vùng hệ thống của ít nhất bốn điện thoại thông minh P48pro, radmi note 8, Note30u và Mate40.

Doctor Web cho biết “các thiết bị bị tấn công đều là ‘bản nhái’ của các mẫu điện thoại nổi tiếng”.

"Thay vì cài đặt một trong những phiên bản hệ điều hành mới nhất với thông tin tương ứng được hiển thị trong chi tiết thiết bị (ví dụ: Android 10), các thiết bị này đang chạy phiên bản 4.4.2 đã lỗi thời từ lâu".

Việc giả mạo liên quan đến hai tệp "/system/lib/libcutils.so" và "/system/lib/libmtd.so" bị sửa đổi để khi bất kỳ ứng dụng nào sử dụng thư viện hệ thống libcutils.so, nó sẽ kích hoạt việc thực thi một trojan được tích hợp trong libmtd.so.

Khi các ứng dụng WhatsApp và WhatsApp Business sử dụng thư viện, libmtd.so sẽ khởi chạy backdoor thứ ba được thiết kế để tải và cài đặt các plugin bổ sung lên các thiết bị bị xâm phạm.

Các nhà nghiên cứu cho biết: “Đáng chú ý, các backdoor được phát hiện và các mô-đun mà chúng tải xuống hoạt động như một phần của các ứng dụng bị nhắm mục tiêu”.

"Do đó, chúng có quyền truy cập vào các tệp của ứng dụng bị tấn công và có thể đọc nội dung các cuộc trò chuyện, gửi spam, chặn và nghe các cuộc gọi điện thoại cũng như thực hiện các hành động độc hại khác tùy thuộc vào chức năng của các mô-đun đã tải xuống".

Mặt khác, nếu ứng dụng sử dụng thư viện wpa_supplicant - một system daemon được sử dụng để quản lý các kết nối mạng - libmtd.so được cấu hình để khởi động một máy chủ cục bộ cho phép kết nối từ một máy khách từ xa hoặc cục bộ thông qua "mysh" console.

Doctor Web giả thuyết rằng việc lây nhiễm vào phân vùng hệ thống có thể đã được triển khai thông qua một Trojan thuộc họ mã độc FakeUpdates (hay còn gọi là SocGholish) dựa trên việc phát hiện một backdoor được tích hợp vào ứng dụng hệ thống để cập nhật firmware qua mạng (OTA).

Các ứng dụng giả mạo được thiết kế để thu thập thông tin metadata về thiết bị bị nhiễm cũng như tải xuống và cài đặt phần mềm độc hại khác mà người dùng không hề hay biết.

Để tránh trở thành nạn nhân của các cuộc tấn công phần mềm độc hại như vậy, người dùng chỉ nên mua thiết bị di động từ các cửa hàng chính thức và nhà phân phối hợp pháp.

Nguồn: thehackernews.com.

scrolltop