Smartphones falsificados com backdoor vem sendo utilizados para hackear contas do WhatsApp. Esses dispositivos seriam modelos de dispositivos Android econômicos associadas a marcas populares de smartphones, mas falsificados. Eles estariam abrigando vários trojans projetados para direcionar aplicativos de mensagens WhatsApp e WhatsApp Business.
Smartphones falsificados usados para roubar contas do WhatsApp
O malware, que o Doctor Web encontrou pela primeira vez em julho de 2022, foi descoberto na partição do sistema de pelo menos quatro smartphones diferentes: P48pro, radmi note 8, Note30u e Mate40. “Esses incidentes estão unidos pelo fato de que os dispositivos atacados eram cópias de modelos de marcas famosas”, disse a empresa de segurança cibernética em um relatório publicado hoje.
“Além disso, em vez de ter uma das versões mais recentes do sistema operacional instaladas com as informações correspondentes exibidas nos detalhes do dispositivo (por exemplo, Android 10), eles tinham a versão 4.4.2 há muito desatualizada.”
Especificamente, a adulteração diz respeito a dois arquivos “/system/lib/libcutils.so” e “/system/lib/libmtd.so” que são modificados de tal maneira que quando a biblioteca do sistema libcutils.so é usada por qualquer aplicativo, ela aciona a execução de um trojan incorporado em libmtd.so.
Se os aplicativos que usam as bibliotecas forem WhatsApp e WhatsApp Business, o libmtd.so inicia um terceiro backdoor cuja principal responsabilidade é baixar e instalar plugins adicionais de um servidor remoto nos dispositivos comprometidos.
De acordo com os pesquisadores, “O perigo dos backdoors descobertos e dos módulos que eles baixam é que eles operam de tal maneira que realmente se tornam parte dos aplicativos direcionados”. Ainda de acordo com eles, “Como resultado, eles obtêm acesso aos arquivos dos aplicativos atacados e podem ler bate-papos, enviar spam, interceptar e ouvir chamadas telefônicas e executar outras ações maliciosas, dependendo da funcionalidade dos módulos baixados”.
No entanto, se o aplicativo que usa as bibliotecas for wpa_supplicant – um daemon do sistema usado para gerenciar conexões de rede – libmtd.so é configurado para iniciar um servidor local que permite conexões de um cliente remoto ou local através do “mysh “console.
Mais das descobertas dos pesquisadores
Doctor Web teorizou que os implantes de partição do sistema poderiam fazer parte da família de malware FakeUpdates (também conhecida como SocGholish ) com base na descoberta de outro trojan incorporado ao aplicativo do sistema responsável por atualizações de firmware over-the-air (OTA).
O aplicativo nocivo, por sua vez, é projetado para exfiltrar metadados detalhados sobre o dispositivo infectado, bem como baixar e instalar outros softwares sem o conhecimento dos usuários por meio de scripts Lua.
Para evitar o risco de se tornar vítima de tais ataques de malware, é recomendável que os usuários comprem dispositivos móveis apenas em lojas oficiais e distribuidores legítimos. Para aqueles que sabe que está comprando um smartphone falsificado, infelizmente já deve saber que isso é o mínimo que ele pode passar.