«Доктор Веб» об атаке на приложения WhatsApp с Android-устройств

Компания «Доктор Веб» сообщила об обнаружении бэкдоров в системном разделе ряда бюджетных моделей Android-смартфонов, которые являются подделками устройств известных брендов. Эти троянцы нацелены на выполнение произвольного кода в мессенджерах WhatsApp и WhatsApp Business и потенциально могут использоваться в различных сценариях атак, включая перехват чатов и кражу содержащейся в них конфиденциальной информации, организацию спам-рассылок, а также разнообразные мошеннические схемы. Кроме того, для данных устройств производители заявляют о современной и безопасной версии ОС Android, но в действительности на них установлена сильно устаревшая версия с многочисленными уязвимостями.

В июле, сообщают в «Доктор Веб», в вирусную лабораторию компании обратилось сразу несколько пользователей с жалобами на подозрительную активность на их Android-смартфонах. В частности, антивирус Dr.Web фиксировал изменение системной области памяти, а также появление одинаковых во всех случаях вредоносных приложений в системном разделе. Отмеченные инциденты объединяет то, что атакованные устройства являются копиями моделей известных брендов. Кроме того, вместо одной из актуальных версий ОС, информация о которой показывается в сведениях об устройстве (например, Android 10), на них установлена давно устаревшая версия 4.4.2.

Затронутыми оказались как минимум четыре модели смартфонов: P48pro, radmi note 8, Note30u, Mate40. Их названия созвучны названиям ряда моделей известных производителей. Вкупе с ложными сведениями об установленной версии ОС это фактически позволяет рассматривать данные устройства как подделки.

Антивирус Dr.Web с помощью функции контроля целостности системного раздела и отслеживания изменений файлов в нем зафиксировал изменения следующих объектов: /system/lib/libcutils.so и /system/lib/libmtd.so. libcutils.so – это системная библиотека, которая сама по себе не представляет опасности, однако она была модифицирована таким образом, что при ее использовании любой программой происходит запуск трояна из файла libmtd.so. Измененная версия данной библиотеки детектируется антивирусом Dr.Web как Android.BackDoor.3105.

Троянская библиотека libmtd.so получила по классификации компании «Доктор Веб» имя Android.BackDoor.3104. Выполняемые ей действия зависят от того, какое приложение использует библиотеку libcutils.so (то есть какое из них фактически привело к запуску бэкдора через нее). Если это были приложения WhatsApp и WhatsApp Business, а также системные программы «Настройки» и «Телефон», Android.BackDoor.3104 переходит ко второй стадии заражения. Для этого троянец копирует в каталог соответствующего приложения другой бэкдор (добавлен в вирусную базу Dr.Web как Android.Backdoor.854.origin), который затем запускает. Основная функция этого компонента – загрузка и установка дополнительных вредоносных модулей.

Для загрузки модулей Android.Backdoor.854.origin подключается к одному из нескольких управляющих серверов, передавая в запросе определенный массив технических данных об устройстве. В ответ сервер направляет троянцу список плагинов, которые тот загружает, расшифровывает и запускает. Обнаруженные вредоносные программы и скачиваемые ими модули функционируют таким образом, что фактически становятся частью целевых приложений. В результате они получают доступ к файлам атакуемых программ и могут читать переписку, осуществлять спам-рассылки, перехватывать и прослушивать телефонные звонки и выполнять другие вредоносные действия, в зависимости от функциональности загружаемых модулей.

Если же в запуске троянца участвовало системное приложение wpa_supplicant (оно управляет беспроводным соединением), то Android.BackDoor.3104 запускает локальный сервер. Он позволяет удаленному или локальному клиенту подключаться и работать в консольной программе mysh, которая предварительно должна быть установлена на устройство или изначально присутствовать в его прошивке.

Как считают в «Доктор Веб», наиболее вероятным источником появления вредоносных приложений в системном разделе атакованных устройств мог выступать представитель известного семейства троянцев Android.FakeUpdates. Злоумышленники встраивают их в различные системные компоненты – программу обновления прошивки, приложение настроек или компонент, отвечающий за графический интерфейс системы. В процессе работы они выполняют разнообразные Lua-скрипты, с помощью которых, в частности, способны загружать и устанавливать другое ПО. Именно такая троянская программа Android.FakeUpdates.1.origin – была выявлена на одном из целевых смартфонов.