Según Dr. Web, la puerta trasera viene preinstalada en los dispositivos Android falsificados dirigidos a los mensajeros de WhatsApp y WhatsApp Business.
Los investigadores de seguridad de TI de Doctor Web han identificado que muchos modelos económicos de dispositivos Android , que son versiones falsificadas de modelos populares de diferentes marcas de teléfonos inteligentes, contienen puertas traseras y se dirigen a cuentas de WhatsApp y aplicaciones de mensajería de WhatsApp Business.
Según la investigación de Doctor Web, al menos cuatro modelos de teléfonos inteligentes, incluidos Redmi note 8, P48pro, Mate40 y Note30u, albergaban malware . El descubrimiento se realizó en julio de 2022 y se encontró malware en las particiones del sistema de estos teléfonos inteligentes.
Los nombres de estos modelos están en consonancia con los nombres de algunos de los modelos producidos por fabricantes famosos. Esto, junto con la información falsa sobre la versión del sistema operativo instalado, nos permite considerar estos dispositivos como falsos.
Vale la pena señalar que estos dispositivos se comercializan con la versión más segura del sistema operativo Android, como Android 10. Sin embargo, en realidad, estos contienen una versión obsoleta, por ejemplo, Android 4.4.2, que contiene múltiples vulnerabilidades de seguridad.
Según un informe de Doctor Web , en julio, su laboratorio antivirus recibió varias quejas sobre actividades dudosas en sus dispositivos Android. El antivirus de la compañía también comenzó a detectar cambios en el almacenamiento del sistema y notó que aparecía malware en la partición del sistema.
Los dispositivos objetivo resultaron ser versiones falsificadas de marcas populares de teléfonos inteligentes, y sus nombres se alinearon con los nombres de los modelos originales. Además, los teléfonos contenían versiones obsoletas del sistema operativo, lo que validaba aún más que los dispositivos eran falsos. El antivirus de Doctor Web identificó cambios en los siguientes objetos:
/system/lib/libcutils.so
/system/lib/libmtd.so
Los cambios se detectaron mediante la función de supervisión de la integridad de las particiones del sistema y la capacidad de ver los cambios de archivos en las particiones. Estos archivos se modificaron de modo que cuando una aplicación usaba la biblioteca del sistema libcutils.so, activaba un troyano que ya estaba incorporado en el archivo.
Si la aplicación era WhatsApp o WhatsApp Business , el archivo iniciaba una tercera puerta trasera que descargaba/instalaba nuevos complementos desde un servidor remoto en el teléfono comprometido. Estas puertas traseras y módulos funcionaron de tal manera que se convirtieron en parte de la aplicación.
Riesgos potenciales
Los investigadores de Doctor Web creen que los implantes de partición del sistema pueden estar vinculados a la familia de malware FakeUpdates o SocGholish . Este malware puede filtrar una gran cantidad de metadatos sobre el dispositivo de destino y descargar/instalar otro software a través de secuencias de comandos Lua sin alertar al usuario.
Además, los troyanos integrados en los teléfonos pueden apuntar a la ejecución de código arbitrario en las cuentas de WhatsApp y pueden utilizarse en una amplia gama de escenarios de ataque, como la interceptación de chats y el robo de datos privados confidenciales. Además, el malware puede lanzar numerosas campañas de estafa .
Para evitar el uso de teléfonos infectados, compre teléfonos inteligentes u otros dispositivos portátiles solo de distribuidores auténticos o tiendas oficiales.
Fuente: https://news.drweb.com/show/?i=14542&lng=en
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.